Linux 7.2: Az AF_ALG elavulttá tétele a "masszív támadási felület" miatt, az offloading eltávolítása

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

A közelgő Linux 7.2 kiadás keretében az AF_ALG teljes mértékben elavulttá válik. Eric Biggers a javítócsomagban a kernel kriptográfiai alrendszerének "cryptodev" fájljában így fogalmaz:

"Az AF_ALG szinte teljesen szükségtelen, és egy hatalmas támadási felületet nyit meg, amely nem állja meg a helyét a modern sebezőség-felderítő eszközökkel szemben. A legújabbnak saját weboldala is van, amely egy kis Python szkriptet kínál, ami megbízhatóan root jogosultságot ad a legtöbb Linux disztribúciónak: https://copy.fail/

Ez nem fenntartható, különösen, mivel a LLM-ek felgyorsították a sebezőségek megjelenésének ütemét. A ráfordított erőforrások aránytalanul nagyok a valóban használó néhány programhoz képest, és ezek a programok a felhasználói térben megvalósított kód által jobban szolgálhatók.

Ezeket a problémákat már sok levelezőlistás megbeszélésben említették. De eddig nem tükröződtek a dokumentációban vagy a kconfig menüben, és a sebezőségek továbbra is megjelennek.

Lépjünk tovább, és dokumentáljuk az elavulást."

Az elavultatás mellett a Linux 7.2 már eltávolítja a zero-copy támogatást a kapcsolódó biztonsági aggályok miatt. Továbbá, a múlt héttől kezdve ez a javítócsomag eltávolítja az AF_ALG-ból az off-CPU kriptográfiai támogatást. Az AF_ALG-hoz kapcsolódó hardveres gyorsítók használata túl veszélyesnek bizonyult, ezért már eltávolítják a Linux 7.2-ből:

"Az AF_ALG elavult, és hozzáférést biztosít a nem privilegizált felhasználói tér számára. Csak a legkevesebb hibát tartalmazó algoritmus-implementációkat használja: a tisztán szoftveres megoldásokat.

Ez eltávolítja az AF_ALG egyik fő előnyét, amely az off-CPU gyorsítók használatának lehetősége volt. Azonban az off-CPU gyorsítók használata hatalmas többletterhet jelent, mind teljesítmény, mind támadási felület szempontjából. Még nem láttam olyan valós teljesítménykritikus munkaterhelést, ahol az AF_ALG-on keresztüli gyorsító használata valóban előnyös lenne a felhasználói térben végzett kriptográfiához képest.

Ha az off-CPU gyorsító valóban nyereséget jelent, egy új API-t kellene kifejleszteni, amely valóban jól illeszkedik hozzá."

A Linux 7.2 egyesítési időszaka várhatóan június közepén kezdődik, sok változással: számos új kernel funkcióval és a növekvő AI/LLM felfedezések következményeivel is foglalkozva.