Évekre visszamenőleg léteztek javítások, amelyek lehetővé tették, hogy a Linux x86_64 kernel Position Independent Executable (PIE) kódként épüljön fel a rendszer biztonságának további fokozása érdekében. Az Antgroup mérnökei legutóbb a Linux x86_64 PIE támogatásával foglalkoztak, és a múlt héten kiadtak egy új javítássorozatot.
A néhány évvel ezelőtti Linux PIE javítások alapján Hou Wenlong és az Antgroup frissített javításokat küldött ki a Linux x86_64 PIE buildek engedélyezéséhez:
“Ezek a javítások elvégzik a szükséges változtatásokat a felépítéshez a kernelt Position Independent Executable (PIE)ként x86_64 rendszeren. A PIE kernel áthelyezhető a virtuális címtér felső 2G része alá. Ez a javításkészlet pedig egy példa arra, hogy a rendszermag képét a címtér felső 512G részébe helyezzük át.
A PIE kernel végső célja a kernel biztonságának és a kernelkép virtuális címének [rugalmasságának] növelése, ami akár a címtér alsó felében is elfér. Több helyen fér el a kernel , ez azt jelenti, hogy a támadó jobban kitalálhatja.
A javításkészlet Thomas Garnier X86 PIE patchset v6-án és v11-én alapul. Azonban néhány tervezési változtatás történt, és néhány hibát kijavítottak különböző konfigurációkkal és fordítókkal végzett teszteléssel.”
A Linux készítése közben kernel a Position Independent Executable növeli a rendszer biztonságát, a hátránya a nagyobb kernelkép és valamivel magasabb utasításszám, ami befolyásolhatja a teljesítményt.
Azok, akik szeretnének többet megtudni a Linux x86_64 PIE-támogatás új verziójáról, látogassák meg a következőt: ez a javítássorozat, amely jelenleg”megjegyzéskérés”címkét tartalmaz.
