皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

Linux 6.11 加固版使 FineIBT 默认值可在构建时配置

Kees Cook 本周提交了 Linux 6.11 合并窗口的所有强化更新,以加强内核对各种攻击媒介和漏洞的防御。

Linux 6.11 的强化更新大多是次要的,只有少数随机更改。值得一提的是,FineIBT模式在构建时可由Kconfig选择。FineIBT 于 2022 年合并,作为替代控制流完整性 (CFI) 实施。FineIBT是一种具有间接分支跟踪(IBT)的软件和硬件混合方案。

虽然如果处理器支持 IBT,Linux 内核将默认使用 FineIBT,但可以通过使用“cfi=kcfi”引导参数来强制默认使用 kCFI 而不是 FineIBT。不过,有人表示希望允许通过 Kconfig 在构建时设置 CFI 默认方法。在 Linux 6.11 中,这样的 Kconfig 旋钮已经与“CONFIG_CFI_AUTO_DEFAULT”构建开关一起出现。

Linux 6.11 加固版使 FineIBT 默认值可在构建时配置

Kees Cook 在添加新 CFI_AUTO_DEFAULT Kconfig 选项的补丁中解释道:

“由于FineIBT在目的地执行检查,因此它对可以构建任意可执行内存内容的攻击较弱。因此,一些系统组装商希望在默认情况下禁用 FineIBT 的情况下运行。允许通过新引入的 CONFIG_CFI_AUTO_DEFAULT 通过 Kconfig 选择“cfi=kcfi”引导参数模式。

该功能在本周通过强化拉取请求登陆了 Linux 6.11 Git。

转自 Linux 6.11 Hardening Makes FineIBT Default Configurable At Build Time – Phoronix