Вышли особые патчи для стека ядра Linux

Кис Кук выпустил набор патчей, в которых реализовали рандомизацию смещений в стеке ядра при обработке системных вызовов. Нынешняя реализация поддерживает архитектуры х86, х86_64 и ARM64. 

Кук раньше был главным системным администратором kernel.org и тимлидом Ubuntu Security Team. Патчи улучшают безопасность ядра Linux тем, что случайно меняют смещение стека в памяти во всех случаях. Так атаки становятся сложнее и менее результативными.

Всё началось с проекта PaX RANDKSTACK. В 2019 году инженер Intel Елена Решетова пыталась воплотить эту идею для включения в основной состав Linux. Её начинания заметил Кис Кук, у которого всё получилось.

Патчи планируют ввести в состав ядра Linux 5.13 с отключённым по умолчанию режимом. Чтобы включить его, есть параметр командной строки ядра «randomize_kstack_offset=on/off» и настройка CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT. Потери в производительности от режима рандомизации смещений оценивают в 1%.

Добавить комментарий

Спасибо, что поделились