Pourquoi Linux 6.11 révolutionne-t-il la configuration par défaut avec FineIBT et comment cela vous impacte-t-il ?
AccueilLinuxPourquoi Linux 6.11 révolutionne-t-il la configuration par défaut avec FineIBT et comment cela vous impacte-t-il ?
Linux

Pourquoi Linux 6.11 révolutionne-t-il la configuration par défaut avec FineIBT et comment cela vous impacte-t-il ?

Par Hugues , le 23 juillet 2024 - 3 minutes de lecture

Linux 6.11, avec son introduction de FineIBT, apporte une révolution majeure dans la configuration par défaut. Cette nouvelle fonctionnalité bouleverse les standards en offrant une optimisation inégalée, impactant ainsi directement les utilisateurs avec des performances et des possibilités accrues.

Une Révolution dans la Sécurité du Kernel

Kees Cook a annoncé cette semaine la soumission de toutes les mises à jour de renforcement pour la fenêtre de fusion de Linux 6.11. Ces mises à jour visent à améliorer les défenses du kernel contre divers vecteurs d’attaques et vulnérabilités.

Les mises à jour de sécurisation de Linux 6.11 sont principalement mineures avec quelques modifications aléatoires. Cependant, un point important mérite d’être mentionné : le mode FineIBT, désormais sélectionnable via Kconfig lors de la compilation.

Qu’est-ce que FineIBT ?

Diagram showing indirect branch tracking for control flow integrity.

FineIBT est une méthode hybride, à la fois logicielle et matérielle, qui utilise le suivi des sauts indirects (IBT) pour améliorer la sécurité du flux de contrôle (CFI). Initialement intégré en 2022, FineIBT permet de protéger le kernel contre les attaques en contrôlant les destinations des sauts indirects.

Configuration par Défaut et Personnalisation

Par défaut, le kernel Linux utilisera FineIBT si le processeur prend en charge l’IBT. Cependant, cela peut être modifié avec le paramètre de démarrage


cfi=kcfi

pour forcer l’utilisation de kCFI au lieu de FineIBT. Beaucoup de développeurs voulaient pouvoir configurer cette option au moment de la compilation via Kconfig.

Linux 6.11 introduit une nouvelle option Kconfig, CONFIG_CFI_AUTO_DEFAULT, permettant de définir la méthode CFI par défaut au moment de la compilation. Cela donne un contrôle supplémentaire aux constructeurs de systèmes pour désactiver FineIBT par défaut s’ils le souhaitent.

Pourquoi ce Changement est-il Important ?

Flowchart illustrating FineIBT and kCFI integration on a whiteboard.

Kees Cook explique que FineIBT effectue des vérifications à la destination, ce qui le rend moins efficace contre les attaques pouvant créer des contenus de mémoire exécutable arbitraires. Par conséquent, certains constructeurs de systèmes préfèrent désactiver FineIBT par défaut pour renforcer cette protection en utilisant kCFI.

Quels Impacts Pour Vous ?

Si vous êtes un développeur ou un administrateur de systèmes, la possibilité de configurer la méthode CFI au moment de la compilation signifie que vous aurez un contrôle plus fin sur les mécanismes de sécurité de votre kernel. Cela peut améliorer la sécurité de vos systèmes en choisissant la méthode qui correspond le mieux à vos besoins.

En tant qu’utilisateur, ces améliorations vous offrent une protection accrue contre les attaques exploitant des failles dans le flux de contrôle, réduisant ainsi les risques de compromission de votre système.

Partager cet article :
Avatar photo

Hugues

Hugues, a 39 ans et il est développeur web indépendant. Passionné de football, de running et de domotique il aime créer des petites applications pour mieux gérer son quotidien.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.