El ingeniero de SUSE, Nikolay Borisov, envió hoy un conjunto de parches para”ia32_disabled”que permitiría desactivar la compatibilidad con procesos x86 de 32 bits para que no se ejecuten en sistemas Linux x86_64. Como primer paso, esta sería una opción de tiempo de arranque cuando se establece”ia32_disabled”.
SUSE está interesado en la capacidad de deshabilitar la capa de compatibilidad IA32 y los parches propuestos permitirían deshabilitar las llamadas al sistema de 32 bits en kernels de 64 bits, así como deshabilitar los procesos de 32 bits.
Sin embargo, reconocen que el software heredado de 32 bits todavía está en uso, por lo que por ahora se está convirtiendo en una opción de tiempo de arranque a través de la opción de kernel”ia32_disabled”, mientras que eventualmente se puede ofrecer como una compilación de Kconfig.-cambio de tiempo si desea deshabilitar la llamada al sistema de 32 bits y el soporte del proceso por completo.
Los comentarios del parche se elaboran con:
“A las distribuciones les gustaría reducir su superficie de ataque tanto como sea posible, pero al mismo tiempo deben adaptarse a una amplia variedad de software heredado. un núcleo de 64 bits. Idealmente, tendríamos la capacidad de deshabilitar el soporte de compatibilidad en el momento del arranque. Esto permitiría que la decisión de si se debe deshabilitar o habilitar se puede delegar a los administradores del sistema.
…
In Además de deshabilitar la interfaz syscall de 32 bits, también deshabilitemos la capacidad de ejecutar procesos de 32 bits por completo. Esto se logra configurando el descriptor GDT_ENTRY_DEFAULT_USER32_CS para que no esté presente, lo que haría que los procesos de 32 bits se interceptaran con una excepción #NP. Además, prohíba la carga de procesos compatibles también.”
La serie de parches por ahora está bajo revisión en the LKML. Será interesante ver cómo evoluciona este trabajo y cuánto interés hay de otros proveedores en la desactivación opcional del soporte de procesos de 32 bits.
