A capacidade de randomizar o deslocamento da pilha do kernel em cada chamada de sistema parece que vai pousar no próximo ciclo do Linux 5.13. Esse recurso opcional torna muito mais difícil realizar ataques baseados em pilha no kernel do Linux.
Em 2019, havia uma proposta da engenheira da Intel Elena Reshetova para permitir a randomização do deslocamento da pilha do kernel em cada chamada do sistema. Este código foi inspirado originalmente pelo recurso RANDKSTACK do PaX para aprimorar a segurança do kernel contra exploits que dependem do determinismo da pilha do kernel. O engenheiro do Google Kees Cook acabou assumindo esse esforço e, após dez rodadas de revisão de código, parece que o código está pronto para o Linux 5.13.
Este trabalho permite a randomização opcional do deslocamento da pilha do kernel em cada chamada do sistema. A funcionalidade pode ser controlada na inicialização com orandomize_kstack_offset = opção com valores aceitos de on / off. ARM64 e x86 / x86_64 são as arquiteturas de CPU iniciais que suportam este recurso.
A execução com essa opção habilitada deve dificultar a execução de ataques baseados em pilha, graças ao deslocamento aleatório em cada chamada do sistema. No entanto, o recurso está desativado por padrão, pois causa aproximadamente 1% de sobrecarga, pelo menos no x86_64.
Esses patches foram colocados na fila na quinta-feira no branch x86 / entry do tip.git e, portanto, parecem que estarão na mesa para a janela de mesclagem do Kernel Linux 5.13 quando ela for aberta no final deste mês
Até a próxima !!
Nenhum comentário:
Postar um comentário