Intel Shaodw Stack-ondersteuning werd ingediend voor Linux 6.4 aan het begin van het samenvoegvenster, maar nu dit twee weken durende samenvoegvenster ten einde loopt, is het nog niet ingetrokken en heeft Linus Torvalds technische problemen opgeworpen met de voorgestelde patches die nu gevaar lopen zijn komst deze cyclus.
Shadow Stack-ondersteuning maakt deel uit van Control-flow Enforcement Technology (CET) en wordt sinds Tiger Lake in Intel-CPU’s aangetroffen. De Intel Shadow Stack-functionaliteit is bedoeld om retouradresbescherming te bieden ter verdediging tegen ROP-aanvallen. Het heeft lang op zich laten wachten om de Shadow Stack-ondersteuning van de Linux-kernel in de mainline-kernel te krijgen en nu loopt het het risico teruggedrongen te worden van Linux 6.4.
Linus Torvalds is er dit weekend alleen maar aan toegekomen om de code nauwkeurig te bekijken en hij vond al een probleem met een bug die van invloed zou zijn op niet-x86_64 kernels. Hij legde uit in een bericht op de mailinglijst:
“Dus ik ga nu door het oorspronkelijke pull-verzoek-ik hoopte echt dat ik dat eerder had kunnen doen, maar er bleven al die kleine hangende andere problemen zijn.
En ik sta op het punt kwart binnen, ben nog niet eens aan het vlees toegekomen, en ik heb al een bug gevonden.
…
Eindresultaat: al die architecturen die *niet* het vma-argument willen hebben het niet nodig om extra werk te doen, en ze implementeerden gewoon de oude versie, en het enige dat gebeurde was dat het werd hernoemd.
Omdat ik deze serie echt niet wil trekken zoals ze is, toen ik ontdekte wat lijkt op een”dit brak een architectuur die er niet eens om geeft”bug in de serie.
En ja, mijn fout dat ik hier niet eerder op ben gekomen om dit op te merken.
Of alternatief-mijn fout dat ik hier niet doorheen ben gegaan met een fijne kam zoals ik begonnen te doen.”
Sindsdien zijn er meer opmerkingen op de mailinglijst geweest over de technische aard van deze bug, maar om een lang verhaal kort te maken, Linus trekt deze patches niet zoals ze zijn. Het valt nog te bezien of er een last-minute bijgewerkte patch-serie zal zijn of dat Torvalds het leuk zal vinden om deze patches laat voorbij 6.4-rc1 te halen, maar het wordt steeds waarschijnlijker dat de Intel Shadow Stack-ondersteuning zal worden uitgesteld tot v6.5+ gezien deze laatste er wordt op een minieme bug gewezen en Torvalds is niet eens klaar met het volledig beoordelen van deze patches.
