Dengan Linux 6.6, kernel arus utama akhirnya mendapatkan dukungan untuk Shadow Stack pada CPU Intel/AMD yang awalnya diluncurkan sebagai bagian dari Teknologi Penegakan Aliran Kontrol (CET) Intel untuk menangkis serangan ROP dengan lebih baik. Perpustakaan GNU C “glibc” baru-baru ini diperbarui dengan beberapa perubahan seputar dukungan CET / Shadow Stack.
Kode pengembangan Glibc terbaru kini telah disinkronkan dengan antarmuka Shadow Stack yang ditemukan dengan Linux 6.6+ di x86_64. Pekerjaan dilanjutkan untuk mengaktifkan Shadow Stack saat startup:
“Sebelumnya, CET diaktifkan oleh kernel sebelum meneruskan kontrol ke ruang pengguna dan kode startup harus menonaktifkan CET jika aplikasi atau pustaka bersama tidak mengaktifkan CET. Karena kernel saat ini hanya mendukung shadow stack dan tidak akan mengaktifkan shadow stack sebelum meneruskan kontrol ke ruang pengguna, kita perlu mengaktifkan tumpukan bayangan saat startup jika aplikasi dan semua perpustakaan bersama mengaktifkan tumpukan bayangan. Tidak perlu menonaktifkan tumpukan bayangan saat startup. Tumpukan bayangan hanya dapat diaktifkan dalam fungsi yang tidak akan pernah kembali. Jika tidak, , tumpukan bayangan akan kekurangan aliran saat fungsi kembali.” Namun kemudian patch lanjutan memperjelas untuk tidak menyetel CET aktif secara default:
“Tidak semua aplikasi dan perpustakaan yang mendukung CET telah diuji dengan benar di lingkungan yang mendukung CET. Beberapa aplikasi atau perpustakaan yang mendukung CET akan crash atau berperilaku buruk ketika CET diaktifkan. Jangan atur CET aktif secara default sehingga semua aplikasi dan perpustakaan akan berjalan normal apa pun apakah CET aktif atau tidak.Shadow stack dapat diaktifkan dengan
$ ekspor GLIBC_TUNABLES=glibc.cpu.hwcaps=SHSTK
pada saat run-time jika shadow stack dapat diaktifkan oleh kernel.
NB: Komit ini dapat dikembalikan jika diperbolehkan untuk mengaktifkan CET secara default untuk semua aplikasi dan perpustakaan.”Penambahan CET Shadow Stack untuk Perpustakaan GNU C ini akan menjadi bagian dari rilis glibc 2.39 yang akan dirilis sekitar bulan depan.
Itulah berita seputar Glibc Diperbarui Untuk Dukungan Linux CET Shadow Stack Terbaru, semoga bermanfaat. Disadur dari Phoronix.com.