Линус Торвальдс столкнулся с дилеммой: устранение уязвимости или сохранение совместимости
Пользователи компьютерных игр столкнулись с невозможностью запуска игры Witcher 2 на системах с новыми ядрами Linux. В частности, наблюдается крах при запуске игры в окружении ядра 3.17.7 и более новых выпусков. После анализа ситуации разработчики выяснили, что причиной являются добавленные в недавних выпусках ядра дополнительные проверки параметров системного вызова «set_thread_area». Линус Торвальдс присоединился к дискуссии и подтвердил свою приверженность принципу сохранения полной совместимости с приложениями, заключающемуся в том, что программные интерфейсы должны обеспечивать обратную совместимость, и никакие изменения в ядре не должны нарушать корректную работу пользовательских приложений. Чтобы не допустить подобные инциденты с играми в будущем, Линус посоветовал ответственным за тестирование ядра разработчикам включить игровые приложения в число проверяемых программ, а разработчикам проприетарных игр более активно сотрудничать с разработчиками ядра и сразу сообщать о всех возникших проблемах. В качестве решения проблемы с Witcher 2 Линус указал на необходимость смягчить добавленные в системный вызов ограничения «set_thread_area» или организовать жесткие проверки только для серверных систем.
Неоднозначность ситуации заключается в том, что добавление дополнительных проверок параметров системного вызова «set_thread_area» было осуществлено в рамках устранения выявленных в декабре критических уязвимостей (CVE-2014–9322, CVE-2014–9090) и данные проверки необходимы для предотвращения атак, которые могут привести к повышению привилегий в системе. При этом старое недокументированное поведение системного вызова использовалось в игре Witcher 2. Для поисков свободных слотов TLS в системный вызов «set_thread_area» передавалась полностью обнулённая структура и такой метод работал в Witcher 2, хотя формально требовалось установка флагов read_exec_only и seg_not_present. В новых выпусках ядра передача в «set_thread_area» структур, содержащих 16-разрядные сегменты TLS была запрещена, так как подобные манипуляции с LDT используются в эксплоите.
Таким образом возникла дилемма: сохранить совместимость, но оставить потенциальную уязвимость, или устранить вектор атаки, но нарушить совместимость программных интерфейсов. В случае с игрой Witcher удалось найти компромиссное обходное решение и подготовить патчи, воспринимающие передачу структуры user_desc со всеми нулевыми значениями как операцию поиска свободного слота, и не проводить в этом случае заполнение сегмента TLS.
© OpenNet
