Il y a des années, il y a eu des correctifs pour permettre au noyau Linux x86_64 de se construire en tant que code PIE (Position Independent Executable) afin d’améliorer encore la sécurité du système. Les ingénieurs d’Antgroup se sont récemment attaqués au support Linux x86_64 PIE et ont envoyé la semaine dernière une nouvelle série de correctifs.
Sur la base des correctifs Linux PIE d’il y a quelques années, Hou Wenlong avec l’Antgroup a envoyé des correctifs mis à jour pour autoriser les builds Linux x86_64 PIE :
“Ces correctifs apportent les modifications nécessaires à la construction le noyau en tant qu’exécutable indépendant de la position (PIE) sur x86_64. Un noyau PIE peut être déplacé sous les 2 Go supérieurs de l’espace d’adressage virtuel. Et ce patchset fournit un exemple pour permettre à l’image du noyau d’être déplacée dans les 512 Go supérieurs de l’espace d’adressage.
Le but ultime du noyau PIE est d’augmenter la sécurité du noyau ainsi que la [flexibilité] de l’adresse virtuelle de l’image du noyau, qui peut même se trouver dans la moitié inférieure de l’espace d’adressage. , cela signifie qu’un attaquant pourrait deviner plus fort.
Le patchset est basé sur le patchset X86 PIE v6 et v11 de Thomas Garnier. Cependant, certaines modifications de conception sont apportées et certains bugs sont corrigés en testant avec différentes configurations et compilateurs.”
Lors de la création de Linux kernel a Position Independent Executable améliore la sécurité du système, l’inconvénient est la possibilité d’une image du noyau plus grande et d’un nombre d’instructions légèrement plus élevé qui pourraient avoir un impact sur les performances.
Ceux qui souhaitent en savoir plus sur cette nouvelle version du support Linux x86_64 PIE peuvent consulter cette série de correctifs porte actuellement une balise”demande de commentaires”.