fusionné avec la ligne principale La semaine dernière, le noyau Linux 5.19 était le dernier lot de travaux de renforcement du noyau, qui comprend l’introduction du support Clang RandStruct et d’autres changements pour renforcer les défenses du noyau.
La fonctionnalité RandStruct est une nouvelle fonctionnalité à venir dans LLVM/Clang 15.0 et consiste à randomiser la disposition de la structure. Le noyau Linux a déjà pris en charge RandStruct du côté GCC pour randomiser la disposition des structures sensibles du noyau, tandis que maintenant pour Linux 5.19, ce nouveau support Clang 15.
L’utilisation du durcissement RandStruct du noyau Linux peut induire un certain impact sur les performances, mais il existe également un réglage au moment de la construction pour essayer de limiter la randomisation de la disposition de la structure pour mettre en cache des groupes de membres de la taille d’une ligne afin de réduire ces performances coût mais avec une randomisation réduite.
Les mises à jour de renforcement incluent également le renforcement de la copie utilisateur vérifie désormais les autres allocations types, améliorations du comportement ARM64 StackLeak, améliorations de la génération de code ARM64 Control-Flow Integrity (CFI) et modifications de LoadPin LSM.
le support de Clang RandStruct et d’autres changements pour renforcer les défenses du noyau…
