Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Fedora 45 намерены включить защиту на основе теневого стека

02.07.2026 08:56 (MSK)

В выпуске Fedora Linux 45, намеченном на осень 2026 года, на системах x86_64 планируют по умолчанию включить использование теневого стека (shadow stack) для блокирования работы эксплоитов, перезаписывающих адрес возврата функций в случае переполнения буфера в стеке. Защиту намерены активировать для всех приложений и библиотек, собранных при помощи компиляторов gcc (C, C++), clang (C, C++) и rustc (Rust). План пока не утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux. Инициатором включения теневого стека в Fedora является Арджун Шанкар (Arjun Shankar) из компании Red Hat, сопровождающий пакеты с glibc в Fedora и RHEL.

Защита реализуется с использованием аппаратных возможностей процессоров и сводится к тому, что после передачи управления функции, адреса возврата сохраняются процессором не только в обычном стеке, но и в отдельном "теневом" стеке, который не может быть изменён напрямую. Перед выходом из функции адрес возврата извлекается из теневого стека и сверяется с адресом возврата из основного стека. Несовпадение адресов приводит к генерации исключения, блокирующего ситуации, когда эксплоиту удалось перезаписать адрес в основном стеке. Механизм теневого стека поддерживается начиная с 11 поколения процессоров Intel ("Tiger Lake" и "Rocket Lake") и микроархитектуры Zen3 в процессорах AMD.

  1. Главная ссылка к новости (https://www.mail-archive.com/d...)
  2. OpenNews: Пересмотр решения о создании редакции Fedora AI Developer Desktop
  3. OpenNews: Выпуск дистрибутива Fedora Linux 44
  4. OpenNews: Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux
  5. OpenNews: В Fedora 40 планируют включить изоляцию системных сервисов
  6. OpenNews: Пакеты в Fedora Linux будут собираться с защитой от уязвимостей форматирования строки
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65825-fedora
Ключевые слова: fedora, stack, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:29, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Механизм теневого стека поддерживается начиная с 11 поколения процессоров Intel ("Tiger Lake" и "Rocket Lake") и микроархитектуры Zen3 в процессорах AMD.

    А на более ранних процессорах что? Будет эмулироваться или не будет использоваться?

     
     
  • 2.2, Alladin (?), 09:33, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +2 +/
    процессоров раньше zen3 и tiger_lake/rocket_lake не существует, ты о чем?)

    а все тех кто не поддерживает - выбьем невалид инструкции и отправим в магаз за новым железом

     
     
  • 3.6, Аноним (6), 09:42, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что вы думали, сможете купить компуктер и пользоваться им сколько хотите?!
     
     
  • 4.11, Alladin (?), 10:06, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    не знаю, zen3 вышел в 20 году. zen2 вышел в 19 году.
    обновлять железо по мере выхода через каждый год?)
     
     
  • 5.18, Аноним (6), 10:20, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    К тому же дата выпуска даже не ориентир, например я купил 5700G совсем недавно, не знаю какого качества у него зен, но меня всё устраивает!
     
  • 3.10, Аноним (10), 10:05, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    А вы думали, что разработчики обязаны поддерживать ваш хлам вечно?
    Это опенсорс, тут никто никому не должен.

    Вы всегда можете сделать форк без этих изменений.

     
     
  • 4.13, Alladin (?), 10:08, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    даже кора дуба с первым 86_64 еще что-то может, а мы тут про zen2 к примеру.. это хлам?, совсем нет
     
     
  • 5.19, Аноним (19), 10:21, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > даже кора дуба с первым 86_64 еще что-то может,

    "кому и кобыла - невеста" (с)
    "Что-то" - это хорошее описание.

    > про zen2 к примеру.. это хлам?, совсем нет

    А теперь зададися вопросом ʼа нужна ли последняя федора c такой защитой юзерам зен2ʼ.
    Наверное нужна.
    Но реализовать ее без аппаратной поддержки не имеет смысла, так как производительность.


     
  • 2.3, Аноним (3), 09:36, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Так cf-protection это аппаратная фича. Фактически, всё, что делается, делается для облачных серверов, и облачные сервера обновляются каждые 2 года или около того. Тебе не о чем беспокоиться, можешь отключить это всё.
     
     
  • 3.14, Alladin (?), 10:09, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    а fedora это не обязательно облачная инфра которую обровляют каждые два года. + ничего не отключишь, разве что не пересоберешь.

     
  • 3.16, Аноним (16), 10:16, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Ну щас прям. 3 года это к чему стремятся, на практике больше, а в частных так и десятилетие процы запросто увидеть, тем более после 2022.
     
  • 2.4, Аноним (6), 09:37, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    У вас небезопасный проц. Нужно менять!
     
  • 2.5, Соль земли2 (?), 09:38, 02/07/2026 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     

  • 1.7, Аноним (7), 09:43, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какой это ключ gcc? Или как это реализовано?
     
     
  • 2.9, Аноним (3), 09:53, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    В глибц. Бинари и так с cf-protection собираются, но только если там нет раста.
     

  • 1.8, aname (ok), 09:50, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Они так и раст сделают ненужным (хотя, казалось бы, что поменялось бы)
     
     
  • 2.12, Аноним (10), 10:08, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > в случае переполнения буфера в стеке

    А остальное?
    Или use-after-free, double-free и т.д уже не страшно?

    Сейчас просто пытаются костылями исправить убогость.

     
     
  • 3.20, aname (ok), 10:22, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    >> в случае переполнения буфера в стеке
    > А остальное?
    > Или use-after-free, double-free и т.д уже не страшно?
    > Сейчас просто пытаются костылями исправить убогость.

    Убогость ансейфа раста, надо понимать?

     

  • 1.17, Аноним (6), 10:18, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В других новостях - федора не смогла протолкнуть идею AI desktop хомяч.. т.е. своему камюнити из-за преобладающего сопротивления грызуно^H^H^H её членов. Федора обещает показать кускину ма..^H^H реформировать процесс убрав из него недовольную галерку ради большей открытости, прогресса и добра!
     
     
  • 2.21, Аноним (6), 10:22, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Извиняюсь за грамматические ошибки, писал школьник.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру