Linux 6.7重新生成PE头以减少攻击区域

2023年 10月 30日 110.4k 0

Linux 6.7早期发送的许多pull请求之一是x86/boot更改,其标题是对PE标头生成进行返工,以生成现代的、4K对齐的内核映像视图,从而最终实现更好的系统安全性。

Ard Biesheuvel领导了PE头代返工的工作。他在上个月的补丁系列中解释道:

“现在EFI存根引导流不再依赖于可执行和可写的内存,我们可以重新组织内核映像的PE/COFF视图,并使用4k对齐和有限权限将解压缩器二进制文件的代码和r/o数据公开为.text部分,将data/bss公开为.data部分。

这样做对于与正在为运行Windows而构建的x86 PC(即大多数)上推出的强化措施的兼容性是必要的。Linux EFI存根执行的EFI引导环境对安全问题特别敏感,因为一个操作系统的加载程序中的漏洞可能会被滥用来攻击另一个。

在真正的x86方式中,这比其他架构要复杂得多,因为其他架构从一开始就实现了这种4k对齐的代码/数据分割。这里的复杂因素是,引导映像由两个不同的部分组成,它们被缝合在一起,并使用特殊的构建工具进行固定。

应用此系列后,构建工具执行的唯一剩余任务是生成CRC-32。尽管这个校验和通常是错误的(考虑到发行版内核是以破坏CRC的方式为安全启动而签名的),但由于我们不能确定是否有人依赖它,所以这个功能被保留了下来。

这取代了叶甫根尼去年提出的工作,后者对构建工具进行了重大重写,以清理它,然后更新它以生成新的4k对齐图像布局。正如本系列所证明的,构建工具基本上是不必要的,而且我们已经有太多了。“

这部作品是
x86/启动更改
submitted for the Linux 6.7 merge window.

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论