Linux 6.11 : une nouvelle avancée pour renforcer la sécurité des processus avec /proc/[pid]/mem ?
AccueilLinuxLinux 6.11 : une nouvelle avancée pour renforcer la sécurité des processus avec /proc/[pid]/mem ?
Linux

Linux 6.11 : une nouvelle avancée pour renforcer la sécurité des processus avec /proc/[pid]/mem ?

Par Hugues , le 16 juillet 2024 , mis à jour le 17 juillet 2024 - 2 minutes de lecture

Linux 6.11 marque une avancée significative dans le renforcement de la sécurité des processus en introduisant une potentielle sécurisation de l’accès à /proc/[pid]/mem.

La communauté Linux s’apprête à accueillir une nouvelle fonctionnalité de sécurité avec la version Linux 6.11. Christian Brauner, ingénieur Linux chez Microsoft, a soumis plusieurs pull requests pour les différentes parties du kernel sous sa responsabilité, incluant des nouveautés intéressantes pour le système de fichiers virtuel procfs.

Le contexte et les enjeux

Les fichiers /proc/[pid]/mem permettent d’accéder à la mémoire des processus en temps réel. Cependant, cette fonctionnalité a été exploitée à des fins malveillantes, permettant l’exécution de code arbitraire à partir de stockage noexec. Ces attaques reposaient sur l’utilisation de FOLL_FORCE, une méthode qui contourne les permissions standards des pages mémoire.

Nouvelle option de configuration : SECURITY_PROC_MEM_RESTRICT_WRITES

Terminal view of ptrace command usage for specific tasks.

Pour contrer ces exploitations, la nouvelle version de Linux introduit l’option Kconfig SECURITY_PROC_MEM_RESTRICT_WRITES. Cette option permet de restreindre les écritures dans les fichiers mem des processus, sauf si le processus actuel utilise ptrace pour suivre cette tâche spécifique.

Description technique des restrictions

Les restrictions mises en place comprennent :

  • proc_mem.restrict_foll_force : Limite l’utilisation de FOLL_FORCE.
  • Interdiction d’ouvrir /proc/[pid]/mem en lecture ou en écriture.
  • Restriction des écritures dans /proc/[pid]/mem.

Les implications pour les utilisateurs

Closeup of gdb debugger interface with highlighted lines of code.

Brauner souligne que ces modifications nécessitent une compréhension approfondie des implications de FOLL_FORCE et de l’accès à /proc/[pid]/mem. Les cas d’utilisation de ces fichiers sont déjà complexes, impliquant souvent des outils comme gdb (un débogueur) et la notification seccomp pour émuler les appels système.

Adoption et avenir

Cette nouvelle fonctionnalité de sécurité est actuellement en attente d’approbation par Linus Torvalds lors de la fenêtre de fusion pour la version Linux 6.11. Si aucune autre version intermédiaire n’est retardée, cette fenêtre commencera dès demain.

Pour les distributions Linux et les utilisateurs avancés, cette mise à jour représente une avancée significative pour renforcer la sécurité des processus. Cependant, elle nécessite une adaptation et une compréhension des mécanismes en jeu pour être pleinement efficace.

Partager cet article :
Avatar photo

Hugues

Hugues, a 39 ans et il est développeur web indépendant. Passionné de football, de running et de domotique il aime créer des petites applications pour mieux gérer son quotidien.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.