A Îmbunătățirea securității întăririi nucleului pe cale pentru Linux 6.1 este capacitatea de a furniza avertismente cu privire la posibile depășiri bazate pe memcpy(). În acest moment, acesta este doar un avertisment, dar este de lucru pentru a putea aborda condițiile de depășire a buffer-ului „trivial detectabile” în cadrul nucleului și, în viitor, ar putea fi capabil să blocheze astfel de depășiri.
Adăugarea care este în lucru de peste un an de către inginerul Google Kees Cook oferă un avertisment de rulare pentru memcpy() în câmpuri încrucișate atunci când nucleul este construit cu CONFIG_FORTIFY_SOURCE activat. Caracteristica oferă verificarea în timp de rulare a lungimilor dinamice memcpy() și memmove() și va emite un avertisment atunci când o scriere ar depăși dimensiunea membrului structurii țintă.
Kees Cook a remarcat cu patch-ul:
„Acest lucru ar fi surprins toate depășirile de buffer bazate pe memcpy() în ultimii 3 ani, acoperind în mod specific toate cazurile în care dimensiunea buffer-ului de destinație este cunoscută la momentul compilării.”
Linux Problemele „BleedingTooth” deoarece setul de vulnerabilități fără clic din subsistemul Linux Bluetooth și care conduc la execuția de cod de la distanță este un exemplu de ceva care ar fi putut fi prevenit prin această muncă.
Această caracteristică de fortificare a trecut prin linux-next un întreg ciclu, dar sunt încă cunoscute cazuri de fals pozitive. Până când acele fals pozitive sunt rezolvate corect, această caracteristică oferă doar un avertisment asupra unor astfel de posibile depășiri, dar nu le va bloca-este posibil, odată maturizat, ca o astfel de blocare să se întâmple ca o bună apărare împotriva depășirilor de buffer bazate pe memcpy în nucleul Linux. De asemenea, speranța este chiar și cu modul de avertizare că această caracteristică poate fi utilizată pentru a găsi probleme rămase în codul kernelului în care dimensiunile matricei și membrii structurii trebuie remediate, un accent permanent în ultimii ani.
Mai multe detalii în solicitare de extragere de întărire a nucleului care vizează fereastra de îmbinare Linux 6.1 nou deschisă.
