Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В Fedora 45 намерены включить защиту на основе теневого стека"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Fedora 45 намерены включить защиту на основе теневого стека"  +/
Сообщение от opennews (??), 02-Июл-26, 09:29 
В выпуске Fedora Linux 45, намеченном на осень 2026 года, на системах x86_64 планируют   по умолчанию включить использование теневого стека (shadow stack) для блокирования работы эксплоитов, перезаписывающих адрес возврата функций в случае переполнения буфера в стеке. Защиту намерены активировать для всех приложений и библиотек, собранных при помощи компиляторов gcc (C, C++), clang (C, C++) и rustc (Rust). План пока не утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux. Инициатором включения теневого стека в Fedora является Арджун Шанкар (Arjun Shankar) из компании Red Hat, сопровождающий пакеты с glibc в Fedora и RHEL...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65825

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 02-Июл-26, 09:29   +2 +/
> Механизм теневого стека поддерживается начиная с 11 поколения процессоров Intel ("Tiger Lake" и "Rocket Lake") и микроархитектуры Zen3 в процессорах AMD.

А на более ранних процессорах что? Будет эмулироваться или не будет использоваться?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #4, #5

2. Сообщение от Alladin (?), 02-Июл-26, 09:33   +7 +/
процессоров раньше zen3 и tiger_lake/rocket_lake не существует, ты о чем?)

а все тех кто не поддерживает - выбьем невалид инструкции и отправим в магаз за новым железом

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #10

3. Сообщение от Аноним (3), 02-Июл-26, 09:36   +/
Так cf-protection это аппаратная фича. Фактически, всё, что делается, делается для облачных серверов, и облачные сервера обновляются каждые 2 года или около того. Тебе не о чем беспокоиться, можешь отключить это всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14, #16

4. Сообщение от Аноним (6), 02-Июл-26, 09:37   +/
У вас небезопасный проц. Нужно менять!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

5. Сообщение от Соль земли2 (?), 02-Июл-26, 09:38    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

6. Сообщение от Аноним (6), 02-Июл-26, 09:42   +2 +/
А что вы думали, сможете купить компуктер и пользоваться им сколько хотите?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11

7. Сообщение от Аноним (7), 02-Июл-26, 09:43   +/
Какой это ключ gcc? Или как это реализовано?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

8. Сообщение от aname (ok), 02-Июл-26, 09:50   +/
Они так и раст сделают ненужным (хотя, казалось бы, что поменялось бы)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

9. Сообщение от Аноним (3), 02-Июл-26, 09:53   +/
В глибц. Бинари и так с cf-protection собираются, но только если там нет раста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #28

10. Сообщение от Аноним (10), 02-Июл-26, 10:05   –2 +/
А вы думали, что разработчики обязаны поддерживать ваш хлам вечно?
Это опенсорс, тут никто никому не должен.

Вы всегда можете сделать форк без этих изменений.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13

11. Сообщение от Alladin (?), 02-Июл-26, 10:06   +/
не знаю, zen3 вышел в 20 году. zen2 вышел в 19 году.
обновлять железо по мере выхода через каждый год?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #18, #23, #37

12. Сообщение от Аноним (10), 02-Июл-26, 10:08   +/
> в случае переполнения буфера в стеке

А остальное?
Или use-after-free, double-free и т.д уже не страшно?

Сейчас просто пытаются костылями исправить убогость.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #20

13. Сообщение от Alladin (?), 02-Июл-26, 10:08   +2 +/
даже кора дуба с первым 86_64 еще что-то может, а мы тут про zen2 к примеру.. это хлам?, совсем нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #19

14. Сообщение от Alladin (?), 02-Июл-26, 10:09   +/
а fedora это не обязательно облачная инфра которую обровляют каждые два года. + ничего не отключишь, разве что не пересоберешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

16. Сообщение от Аноним (16), 02-Июл-26, 10:16   +1 +/
Ну щас прям. 3 года это к чему стремятся, на практике больше, а в частных так и десятилетие процы запросто увидеть, тем более после 2022.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

17. Сообщение от Аноним (6), 02-Июл-26, 10:18   +/
В других новостях - федора не смогла протолкнуть идею AI desktop хомяч.. т.е. своему камюнити из-за преобладающего сопротивления грызуно^H^H^H её членов. Федора обещает показать кускину ма..^H^H реформировать процесс убрав из него недовольную галерку ради большей открытости, прогресса и добра!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #22

18. Сообщение от Аноним (6), 02-Июл-26, 10:20   +/
К тому же дата выпуска даже не ориентир, например я купил 5700G совсем недавно, не знаю какого качества у него зен, но меня всё устраивает!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

19. Сообщение от Аноним (19), 02-Июл-26, 10:21   +/
> даже кора дуба с первым 86_64 еще что-то может,

"кому и кобыла - невеста" (с)
"Что-то" - это хорошее описание.

> про zen2 к примеру.. это хлам?, совсем нет

А теперь зададися вопросом ʼа нужна ли последняя федора c такой защитой юзерам зен2ʼ.
Наверное нужна.
Но реализовать ее без аппаратной поддержки не имеет смысла, так как производительность.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #45

20. Сообщение от aname (ok), 02-Июл-26, 10:22   –1 +/
>> в случае переполнения буфера в стеке
> А остальное?
> Или use-after-free, double-free и т.д уже не страшно?
> Сейчас просто пытаются костылями исправить убогость.

Убогость ансейфа раста, надо понимать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30, #32, #42

21. Сообщение от Аноним (6), 02-Июл-26, 10:22   +/
Извиняюсь за грамматические ошибки, писал школьник.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

22. Сообщение от Аноним (22), 02-Июл-26, 10:31   +/
Там ровно наоборот, поверили на слова авторам, а недовольных не заметили и чуть не утвердили AI Desktop. Теперь пытаются переделать процессы, чтобы учитывать мнение сообщества. https://www.opennet.ru/65454
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #26

23. Сообщение от Аноним (23), 02-Июл-26, 10:33   +/
Amd запутывает покупателей и продает zen2 для ноутбуков 5 раз перемаркированные, так что старые процессоры вполне могут быть "новыми". Так что обновляться нужно очень внимательно.

Думаю при недоступности инструкций эта защита будет неактивной.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #25

25. Сообщение от Аноним (23), 02-Июл-26, 10:38   +1 +/
Проверил, нет проблемы

This change enables Shadow Stack protection on applications and libraries built with gcc (C, C++), clang (C, C++), and rustc (Rust) by default *on x86_64 machines that support it* on Fedora Linux 45

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Аноним (6), 02-Июл-26, 10:44   +/
Я про вчерашний анонс. Если федора была бы заинтересована во мнении камюнити, то вопрос с АИ десктопом больше бы не поднимался. Вместо этого федора собирается проталкивать это дальше под более отказоустойчивым бюрократическим процессом:
https://www.mail-archive.com/devel-announce@lists.fedor...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #27

27. Сообщение от Аноним (27), 02-Июл-26, 10:48   +/
> Я про вчерашний анонс. Если федора была бы заинтересована во мнении камюнити,

А много ли каммюниким привносит в федору?

> то вопрос с АИ десктопом больше бы не поднимался.

Если выкидывать любую идею от которой подгорело у снежинок, то сидели бы досих пор на первопнях.

> Вместо этого федора собирается проталкивать это дальше под более отказоустойчивым бюрократическим процессом:
> https://www.mail-archive.com/devel-announce@lists.fedor...

Логично.
Если представитель Сообщества™ просто кдуахтает на форумах и рассылках, то зачем его слушать?


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #31

28. Сообщение от Аноним (6), 02-Июл-26, 10:48   +/
Интересует вопрос как это реализовано в случае запуска на несовместимом железе. В офишл анонсе этот момент даже не упоминается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #33, #48

29. Сообщение от Аноним (29), 02-Июл-26, 10:50   +2 +/
> Несовпадение адресов приводит к генерации исключения, блокирующего ситуации, когда эксплоиту удалось перезаписать адрес в основном стеке.

Ахаха! Кажется СИшники придумали panic.
А ведь столько раз рассказывали "уууу! нельзя чтобы программа падала! пусть лучше рута подарит злоумышленнику!"

Что дальше?
Добавят борова?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

30. Сообщение от Аноним (30), 02-Июл-26, 10:51   +/
Убогость СИ.
В расте хоть сейф есть, а у д̶ы̶р̶я̶в̶ы̶х̶ перфорированных весь код ансейф.

К расту судя по его добавлению в AOSP, ядро, клоудфларю или git претензий нет 🤷🏻‍♂️.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #35

31. Сообщение от Аноним (6), 02-Июл-26, 10:52   +/
Ну правильно, только одни пользователи, кому они нужны если можно пилить неунужно-в-сферическом-вакууме на деньги корпов/железовендоров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #34

32. Сообщение от Аноним (32), 02-Июл-26, 10:52   +/
Убогость СИ.
В расте хоть сейф есть, а у д̶ы̶р̶я̶в̶ы̶х̶ перфорированных весь код ансейф.

К расту судя по его добавлению в AOSP, ядро, клоудфларю или git претензий нет 🤷🏻‍♂️.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

33. Сообщение от Аноним (3), 02-Июл-26, 10:54   +/
Инструкции CET/IBT просто NOP в таком случае.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

34. Сообщение от Аноним (34), 02-Июл-26, 10:55   +1 +/
Ты про деньги рпавильно вспомнил.

Да. Федора это песочница шапки.
В которой проверяются идеи и фичи, нужные для клиентов шапки (пользователей) и потому будут добавляться в RHEL.
Поэтому в первую очередь должны учитываться интересы тех, ко вкладывает ресурсы.
Васяны которые ничего не делают, но требуют должны посылаться на Хурд - там точно нет ни корпораций, ни денег.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от aname (ok), 02-Июл-26, 11:11   +/
> Убогость СИ.
> В расте хоть сейф есть, а у д̶ы̶р̶я̶в̶ы̶х̶ перфорированных
> весь код ансейф.
> К расту судя по его добавлению в AOSP, ядро, клоудфларю или git
> претензий нет 🤷🏻‍♂️.

Да, мы все видели, что произошло с клаудфларяй после добавления раста.
То ли ещё будет.

Ну да, в Си весь код ансейф. Пишите нормально- будет нормально. seL-4 отличный пример, что если писать нормально- будет нормально. Хочешь спорить- пруфуй дыры в seL-4.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #39

37. Сообщение от test (??), 02-Июл-26, 11:19   –2 +/
Чего ? zen 2 это райзен 5 2ххх. Он что вышел в 19хх годах?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #38

38. Сообщение от Аноним (-), 02-Июл-26, 11:31    Скрыто ботом-модератором+1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от Аноним (39), 02-Июл-26, 11:32   +/
> Да, мы все видели, что произошло с клаудфларяй после добавления раста.

Оно упало.
Это именно то, что предлагают разработчики "теневого стека")

В когда оно было на СИ, то просто утекали юзерские данные почти пол года.

> То ли ещё будет.

Пугалки такие пугалки)

> Ну да, в Си весь код ансейф. Пишите нормально- будет нормально.

Э.. это да.
Но почему никто не пишет?
Ни разрабы ядра, ни диды которые Х11 делали, ни разработчики либ (сколько там дыреней через библиотеки шрифтов?).

Может хотят, но не могут?
По причине.. ну не знаю, того что инструмент овно?

> seL-4 отличный пример, что если писать нормально- будет нормально.

Не, seL-4 - отличный пример, что убогая дьipяшка не может выдать нормальный код.

Приходится брать Хаскель, писать на нем прототип и фреймворк для верификации.
В итоге на 8,700 строк C и 600 строк ассемблера получилось 200,000 строк Isabelle script - примерно в 20 раз больше чем кода на дьipяxe и асме.

Теперь по времени (читай по деньгам, так как средний программер такое не осилит)
- написание abstract заняло примерно 4 человеко-месяца
- два человеко-года ушло на весь Haskell прототип (design, documentation, coding, testing)
- на executable spec потратили всего лишь 2 человеко-месяца
- начальная трансляция в С заняла 3 недели, а полная C implementation - 2 человеко-месяца
- общие затраты на seL4-specific proof 11 человеко-лет

Советую почитать статью "seL4: Formal Verification of an OS Kernel"
sigops.org/s/conferences/sosp/2009/papers/klein-sosp09.pdf

> Хочешь спорить- пруфуй дыры в seL-4.

Какая поsosная попытка манипуляции.
Тебе должно быть стыдно.

Ну ладно, опущусь на твой уровень.
1. Сайт самого sel4
sel4.systems/About/FAQ.html#does-sel4-have-zero-bugs
There may still be unexpected features in the specification and one or more of the assumptions may not apply.

2. Оказывается в доке могут быть не описаны особенности платформ
github.com/seL4/seL4/issues/1108

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #41

40. Сообщение от Axonic (ok), 02-Июл-26, 11:38    Скрыто ботом-модератором+1 +/
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от aname (ok), 02-Июл-26, 11:54   +/
>[оверквотинг удален]
>> Хочешь спорить- пруфуй дыры в seL-4.
> Какая поsosная попытка манипуляции.
> Тебе должно быть стыдно.
> Ну ладно, опущусь на твой уровень.
> 1. Сайт самого sel4
> sel4.systems/About/FAQ.html#does-sel4-have-zero-bugs
> There may still be unexpected features in the specification and one or
> more of the assumptions may not apply.
> 2. Оказывается в доке могут быть не описаны особенности платформ
> github.com/seL4/seL4/issues/1108

Тебе до моего уровня дорости бы.

> По причине.. ну не знаю, того что инструмент овно?

Почему же, почему же, uutils не стал coreutils?
Эх, оказывается, вот оно чо.
А ведь есть ещё горы всего.

> Но почему никто не пишет?

Видимо, в этом есть какая- то причина?

> Это именно то, что предлагают разработчики "теневого стека")

А ведь для этого разработали раст. Я против траты усилий создателей процессоров на то, что уже реализовано в расте.

> seL-4 - отличный пример, что убогая дьipяшка
> не может выдать нормальный код.

На чём же написана seL-4?

> Какая поsosная попытка манипуляции.

Ну, какие ты можешь выдать манипуляции, кстати, осуждаю, такие ты и выдаёшь
Пруфы про дыры- то будут? CVE, RCE?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #43

42. Сообщение от Аноним (42), 02-Июл-26, 11:59   +2 +/
У тебя половина библиотек в расте дёргает сишные функции. А оставшиеся unsafe на unsafe и unsafe-ом погоняет. И ты ещё выпендриваешься. Тебя нужно переписать. А миллионы строк оттестированного кода на Си - нет. Прими это. Следущая остановка - депрессия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #44

43. Сообщение от Аноним (43), 02-Июл-26, 12:17   +/
> Тебе до моего уровня дорости бы.
> дорости

Ахахаха.
Давай жги еще))

>> По причине.. ну не знаю, того что инструмент овно?
> Почему же, почему же, uutils не стал coreutils?

Что значит не стал? Планы замены coreutils никуда не исчезли.
Ну сделают это в след версии убунты, и что с этого?

> Эх, оказывается, вот оно чо.

"Чо" что? У тебя какой-то понoc сознания.

> А ведь есть ещё горы всего.

Горы, я бы даже сказал КУЧИ, уже есть.
Почему хромы выкинул либхмл от дырявых? Потому что уже не исправить.

>> Но почему никто не пишет?
> Видимо, в этом есть какая- то причина?

Я ее озвучил: инструмент сделанный на коленке для ПЕРЕПИСЫВАНИЯ (ironic) юникса был изначально кривой и не соответствует сегодняшним реалиям.
Ты же загадочно напускаешь туман.

>> Это именно то, что предлагают разработчики "теневого стека")
> А ведь для этого разработали раст. Я против траты усилий создателей процессоров на то, что уже реализовано в расте.

Напиши им гневное письмо.

> На чём же написана seL-4?

На Хаскеле.
Потом ее ПЕРЕПИСАЛИ на СИшку.

> Пруфы про дыры- то будут? CVE, RCE?

Опять пытаешься в манипуцяцию?
Я ж тоже могу спросить "почему единственная ʼнормальнаяʼ программа на СИ оказалась программой на Хаскеле?"))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #46

44. Сообщение от Аноним (44), 02-Июл-26, 12:44   +/
> У тебя половина библиотек в расте дёргает сишные функции.

Отлично, значит есть что улучшить.

> А оставшиеся unsafe на unsafe и unsafe-ом погоняет.

Громкий бздох в лужу, но я не вижу доказательств.

> И ты ещё выпендриваешься. Тебя нужно переписать.

У тебя какой-то приступ шuзы?

> А миллионы строк оттестированного кода на Си - нет.

1000+ CVE в ядре за месяц наверное нашли в каких-то других миллионах строк кода)
Dirty Fag'и продолжают делайть Copy Fail'ы.
Дырени в Х11 находят уже третий десяток лет.

> Прими это. Следущая остановка - депрессия.

Депрессия от чего?
Я то доволен: дырявый код заменеяется на менее дырявый (ошибки логики и тд).
Вон хром выкинул FreeType от дырявых.

Так что я доволен, жую попкорн.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

45. Сообщение от анм (?), 02-Июл-26, 13:09   +1 +/
правильная постановка вопроса - а нужна ли федора? ответ очевиден
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

46. Сообщение от aname (ok), 02-Июл-26, 13:18   +/
>[оверквотинг удален]
>> А ведь для этого разработали раст. Я против траты усилий создателей процессоров на то, что уже реализовано в расте.
> Напиши им гневное письмо.
>> На чём же написана seL-4?
> На Хаскеле.
> Потом ее ПЕРЕПИСАЛИ на СИшку.
>> Пруфы про дыры- то будут? CVE, RCE?
> Опять пытаешься в манипуцяцию?
> Я ж тоже могу спросить "почему единственная ʼнормальнаяʼ программа на СИ оказалась
> программой на Хаскеле?"))
> Ну сделают это в след версии убунты, и что с этого?

Так инструмент же идеальный, а что случилось- то?
Кажется, ответ на поверхности. Ну, ведь это связано с самим растом- оно не тонет, так сказать.

> "Чо" что? У тебя какой-то понoc сознания.

Не не скули

> Горы, я бы даже сказал КУЧИ, уже есть.

Ещё нет, раст ещё не на столько распространён

> Почему хромы выкинул либхмл от дырявых?

Хромы выкинули Manifest v2. Какие выводы делать будешь?

> Ты же загадочно напускаешь туман.

Юникс был успешно переписан и работает. Попытка переписать coreutils на раст терпит неудачу который раз.
Инструменты- инструментики.

> На Хаскеле.

Ну же, на каком языке сорцы?

> Потом ее ПЕРЕПИСАЛИ на СИшку.

Ох уж эти растопроекции.

> Я ж тоже могу спросить "почему единственная ʼнормальнаяʼ программа на СИ оказалась
> программой на Хаскеле?"))

Здесь, как видно, уже есть материал для психиатра. Что раст с людьми- то делает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

47. Сообщение от Аноним (47), 02-Июл-26, 13:28   +/
> Что дальше?

Перейдёт на Паскаль, там ещё в прошлом веке были статические и динамические проверки диапазоном массивов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

48. Сообщение от нах. (?), 02-Июл-26, 14:07   +/
дык - illegal instruction тебе, и привет.

ишь, захотел, на немодной своей коре дуба пре-альфа-тест-версию ентер-прайсного дистрибутива запускать!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру