Kees Cook 本周提交了 Linux 6.11 合并窗口的所有强化更新,以加强内核对各种攻击媒介和漏洞的防御。
Linux 6.11 的强化更新大多是次要的,只有少数随机更改。值得一提的是,FineIBT模式在构建时可由Kconfig选择。FineIBT 于 2022 年合并,作为替代控制流完整性 (CFI) 实施。FineIBT是一种具有间接分支跟踪(IBT)的软件和硬件混合方案。
虽然如果处理器支持 IBT,Linux 内核将默认使用 FineIBT,但可以通过使用“cfi=kcfi”引导参数来强制默认使用 kCFI 而不是 FineIBT。不过,有人表示希望允许通过 Kconfig 在构建时设置 CFI 默认方法。在 Linux 6.11 中,这样的 Kconfig 旋钮已经与“CONFIG_CFI_AUTO_DEFAULT”构建开关一起出现。
Kees Cook 在添加新 CFI_AUTO_DEFAULT Kconfig 选项的补丁中解释道:
“由于FineIBT在目的地执行检查,因此它对可以构建任意可执行内存内容的攻击较弱。因此,一些系统组装商希望在默认情况下禁用 FineIBT 的情况下运行。允许通过新引入的 CONFIG_CFI_AUTO_DEFAULT 通过 Kconfig 选择“cfi=kcfi”引导参数模式。
该功能在本周通过强化拉取请求登陆了 Linux 6.11 Git。
转自 Linux 6.11 Hardening Makes FineIBT Default Configurable At Build Time – Phoronix