A Fedora Linux 44 fejlesztői új biztonsági intézkedéseket terveznek a Linux kernel számára, amelyek célja a rendszermag sebezhetőségeinek csökkentése és a potenciális támadások elleni védelem megerősítése. A változtatások főként a ptrace, kptr_restrict és BPF JIT mechanizmusokra koncentrálnak. A javasolt változtatások három fő sysctl beállítást érintenek:

• kernel.kptr_restrict: Ez a beállítás korlátozza a kernel mutatók (pointers) megjelenítését nem privilegizált felhasználók számára, így nehezebbé téve a támadók számára a kernel memóriaelrendezésének feltérképezését. Alapértelmezésben a kptr_restrict csak a címek hash-elését végzi, de nem teljesen rejti el a memória címeket.
• net.core.bpf_jit_harden: Ez a beállítás a BPF JIT mechanizmust erősíti nem privilegizált felhasználóknál, csökkentve a JIT spraying támadások kockázatát.
• kernel.yama.ptrace_scope: A ptrace_scope korlátozza a Linux folyamatok trace-elését, így biztonságosabbá téve a folyamat interfészeket. A javaslat része az elfutils-default-yama-scope csomag elavulttá tétele is, amely véletlenül telepítve letilthatja az alapértelmezett ptrace_scope védelmet.

A javaslat indoklása

A Fedora csapata szerint a változtatások több előnnyel járnak:

„Megnövelt biztonság / további biztonsági réteg a ptrace, kptr_restrict és bpf_jit mechanizmusokkal kapcsolatos támadások és sebezhetőségek ellen. Ez csökkentheti azokat a kockázatokat, amelyeket tapasztalatlan vagy figyelmetlen felhasználók saját rendszerükön okozhatnak („szociális sebezhetőségek”), valamint mérsékli a saját csomagjainkban előforduló sebezhetőségeket is.”

Következő lépések

A változtatási javaslat még nem végleges: a Fedora Engineering and Steering Committee (FESCo) szavazására vár. A tervezett módosításokat a Fedora 44-es kiadásban vezetnék be, nem pedig a közelgő Fedora 43 verzióban. Aki részletesebben érdeklődik, a javaslat teljes dokumentációja elérhető a Fedora hivatalos csatornáin.