18.2.2014 04:29
Marián Kyral | skóre: 29
| blog: Sem_Tam
| Frýdek-Místek
Rozbalit Rozbalit vše Re: Jaderné noviny – 30. 1. 2014: Méně bezpečnostních chyb s Intel MPX
Portál AbcLinuxu, 4. května 2025 14:17
Aktuální verze jádra. Citáty týdne: Linus Torvalds, Tejun Heo, Ingo Molnar. Podpora Intel MPX na Linuxu.
Začleňovací okno 3.14 je stále otevřené, takže prozatím nejsou žádné vývojové verze.
Stabilní aktualizace: verze 3.12.9 a 3.10.28 byly vydány 25. ledna. 29. ledna následovaly verze 3.13.1 a 3.4.78.
Pokud většina oopsů, které dekódujete, je z vašeho vlastního stroje s vaším vlastním jádram, pak byste při psaní kódu měli být opatrnější. A ani to nemyslím jako srandu.
Jelikož už nějakou dobu používám tmpfs jako cíl pro sestavování, tak toto občasně zažívám, a potají ve mně roste pocit trpkého zklamání z linuxového jádra, který se rozvíjí až v hnusení se sama sebe, a došlo to až do bodu, kdy mi bootování do win8 přišlo jako útěcha poté, co jsem se 45 minut díval na zasekávající se systém, zatímco jsem měnil oddíly na disku, abych měl místo pro steamos. Tomu se říká ironie. Nějakou chvíli jsem pak musel setrvat ve fetální poloze. Měl jsem krizi.
-- Tejun Heo
Možná bychom mohli vygenerovat i nejběžnější varianty jako:
#define PERM__rw_r__r__ 0644 #define PERM__r________ 0400 #define PERM__r__r__r__ 0444 #define PERM__r_xr_xr_x 0555
-- Ingo Molnar nahrazuje S_IRUG0 a spol.
Přetečení bufferů jsou už dlouho zdrojem závažných chyb a bezpečnostních problémů na všech úrovních softwaru. Do odstranění nebezpečných knihovních funkcí bylo za roky vloženo mnoho úsilí, stejně tak do kontroly integrity zásobníku, jenže chyby kvůli přetečení bufferu se stále pravidelně objevují. Nedávno zaslaný jaderný patch je jediním z posledních kroků k tomu, aby byl dostupný nástroj, se kterým už nebudou přetečení bufferu tak běžné: nadcházející hardwarová funkce od Intelu zvaná „MPX“.
MPX je ve své podstatě mechanismus pro hlídání mezí [bounds checking] při přístupu k ukazatelům za asistence hardwaru. Hardware na základě instrukcí od softwaru udržuje tabulku používaných ukazatelů a rozsahu přístupné paměti (meze) každého z nich. Kdykoliv je ukazatel dereferencován, tak je možné použít speciální instrukce pro to, aby bylo jisté, že program přistupuje k paměti v rozsahu určeném pro daný ukazatel. Tyto instrukce mají být rychlé, díky čemuž bude možné provádět kontrolu mezí na produkčních systémech s minimálním dopadem na výkon.
Jak se dá očekávat, pro podporu na straně softwaru je třeba hodně práce, jelikož hardware nemůže sám od sebe vědět, jaké jsou vhodné meze pro daný ukazatel. Prvním krokem tímto směrem je doplnění podpory do kompilátoru GCC. Podpora MPX v GCC je už pokročilá a její začlenění do trunku se bude zvažovat někdy v brzké budoucnosti.
Kdykoliv je soubor zkompilován s novým příznakem -fmpx, GCC vygeneruje kód využívající možností MPX. To znamená sledování všech ukazatelů vznikajících v programu a souvisejících mezí; kdykoliv vznikne nový ukazatel, musí být vložen do tabulky mezí pro následné kontroly. Sledování mezí musí sledovat přetypování a aritmetiku ukazatelů; je přítomen i mechanismus pro „zužování“ [narrowing] mezí při vzniku ukazatele na objekt v jiném objektu (může jít například o pole ve struktuře). Rozhraní volání funkcí je změněno tak, že kdykoliv je funkci předáván ukazatel, jeho meze jsou předávány spolu s ním. Ukazatele vracené z funkcí mají také údaje o mezích.
Jakmile je tato infrastruktura hotová, tak je možné program chránit proti přístupům k paměti mimo stanovené meze. Při každém dereferencování ukazatele jsou vygenerovány přislušné instrukce, aby nejprve došlo k ověření mezí. Pro podrobnosti o tom, jak se mění generování kódu, vizte dokumentaci v jaderném patchi. Ve zkratce: nové instrukce bndcl a bndcu hlídají adresu ukazatele vůči spodní a horní mezi. Pokud instrukce uspějí, pak je ukazatel v povoleném rozsahu.
Dalším krokem je připravit libc na kontrolu mezí. Přinejmenším jde o sestavení s -fmpx, ale nejde jen o to. Jakákoliv knihovní funkce, která vytváří objekt (například malloc()), musí spolu s ukazatelem na objekt vrátit správné meze. Nakonec to bude právě libc, kdo bude zdrojem většiny informací o mezích používaných v aplikaci. Práce na glibc je už evidentně hotová a zařazená do git repozitáře glibc. Instrumentace v jiných knihovnách by také byla žádoucí, ale libc je zjevně pravým místem, kde začít.
Pak je tu ještě otázka toho, dostat potřebný podpůrný kód do jádra; Qiaowei Ren nedávno zaslal patch, který dělá právě toto. Součástí patche je nezbytná režie okolo správy: umožnit aplikacím nastavit tabulky s mezemi, odstranit tabulky při odmapování dané paměti z procesu a tak dále. Většina práce je ale zaměřená na rozhraní pro uživatelský prostor.
Prvním krokem je přidání dvou nových voleb pro prctl(): PR_MPX_INIT a PR_MPX_RELEASE. První z nich připraví kontrolu MPX a zapne tuto funkci, zatímco druhá zase vše uklidí. Aplikace tedy mohou explicitně řídit kontrolu mezí ukazatelů, ale to se neočekává. Namísto toho to bude nejspíše runtime systému, kdo zapne MPX při startování aplikace, dříve než dojde ke spuštění aplikace jako takové. Na mailing listu linux-kernel probíhá debata o tom, že by mohlo být možné celý proces dělat v uživatelském prostoru, takže by tato volání prctl() nebyla nutná, proto se nakonec nemusejí do jádra dostat.
Jakmile je zjištěno překročení mezí, procesor vyvolá vyjímku v jádře (trap). Jádro ji převede na signál SIGSEGV, jenž bude doručen aplikaci, stejně jako při jiných chybných přístupech do paměti. Aplikace, které se dívají do struktury siginfo předané do obsluhy signálu, budou schopny zjistit, že se jedná o problém s mezemi tak, že porovnají hodnotu v poli si_code s novou hodnotou SEGV_BNDERR. Problémová adresa bude uložena v si_addr a užité meze budou v si_lower a si_upper. Většina progamů ale samozřejmě nebude SIGSEGV vůbec ošetřovat a v této situaci zkrátka zhavarují.
Abychom to shrnuli: pro zpřístupnění této hardwarové funkce aplikacím je potřeba docela dost práce. Dobrou zprávou je, že tato práce je vesměs hotova. Používání MPX v jádře by také mělo být možné, ale zatím pro toto nebyly zaslány žádné patche. Přidávání kontroly mezí do jádra, aniž by došlo k rozbití kódu, by s sebou pravděpodobně neslo své vlastní komplikace; například by muselo docházet k opaku zužování při použití makra container_of() – a v jádře jsou volání container_of() tisíce. Hledání způsobů, jak instrumentovat jádro, by proto bylo zrádné; jak to udělat, aniž by v jádře vznikl jeden velký zmatek, by pak bylo ještě těžší. Ale kdyby se to někomu povedlo, přínos by byl nezvratný.
Kdokoliv, kdo se na MPX těší, si ale ještě musí na pár věcí počkat: hardware, který tuto funkci doopravdy podporuje, a distribuce, které ji využívají. MPX je zjevně součástí architektury Intel „Skylake“, která nebude komerčně dostupná dříve než v roce 2015. Proto bude potřeba si na dostupnost na trhu počkat. Než se tak ale stane, Linux by měl být připraven této funkčnosti využít.
18.2.2014 04:29
Marián Kyral | skóre: 29
| blog: Sem_Tam
| Frýdek-Místek
18.2.2014 09:50
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
18.2.2014 18:13
Drom | skóre: 24
| Kdyne
20.2.2014 11:01
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
18.2.2014 20:51
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
Ja som si hned spomenul na segmentaciu. Nie je to v podstate ona s tym, ze kazda premenna je novy segment?
S tim MPX pujdou jeste delat zajimave veci+1, mohly by toho využívat překladače / VM / interpretery vyšších jazyků, kde se bounds checking provádí vždy. Nedělá tohle třeba python? JS? Případně další.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.