Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Fedora 45 намерены включить защиту на основе теневого стека

02.07.2026 08:56 (MSK)

В выпуске Fedora Linux 45, намеченном на осень 2026 года, на системах x86_64 планируют по умолчанию включить использование теневого стека (shadow stack) для блокирования работы эксплоитов, перезаписывающих адрес возврата функций в случае переполнения буфера в стеке. Защиту намерены активировать для всех приложений и библиотек, собранных при помощи компиляторов gcc (C, C++), clang (C, C++) и rustc (Rust). План пока не утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux. Инициатором включения теневого стека в Fedora является Арджун Шанкар (Arjun Shankar) из компании Red Hat, сопровождающий пакеты с glibc в Fedora и RHEL.

Защита реализуется с использованием аппаратных возможностей процессоров и сводится к тому, что после передачи управления функции, адреса возврата сохраняются процессором не только в обычном стеке, но и в отдельном "теневом" стеке, который не может быть изменён напрямую. Перед выходом из функции адрес возврата извлекается из теневого стека и сверяется с адресом возврата из основного стека. Несовпадение адресов приводит к генерации исключения, блокирующего ситуации, когда эксплоиту удалось перезаписать адрес в основном стеке. Механизм теневого стека поддерживается начиная с 11 поколения процессоров Intel ("Tiger Lake" и "Rocket Lake") и микроархитектуры Zen3 в процессорах AMD.

  1. Главная ссылка к новости (https://www.mail-archive.com/d...)
  2. OpenNews: Пересмотр решения о создании редакции Fedora AI Developer Desktop
  3. OpenNews: Выпуск дистрибутива Fedora Linux 44
  4. OpenNews: Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux
  5. OpenNews: В Fedora 40 планируют включить изоляцию системных сервисов
  6. OpenNews: Пакеты в Fedora Linux будут собираться с защитой от уязвимостей форматирования строки
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65825-fedora
Ключевые слова: fedora, stack, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:29, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Механизм теневого стека поддерживается начиная с 11 поколения процессоров Intel ("Tiger Lake" и "Rocket Lake") и микроархитектуры Zen3 в процессорах AMD.

    А на более ранних процессорах что? Будет эмулироваться или не будет использоваться?

     
     
  • 2.2, Alladin (?), 09:33, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +6 +/
    процессоров раньше zen3 и tiger_lake/rocket_lake не существует, ты о чем?)

    а все тех кто не поддерживает - выбьем невалид инструкции и отправим в магаз за новым железом

     
     
  • 3.6, Аноним (6), 09:42, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что вы думали, сможете купить компуктер и пользоваться им сколько хотите?!
     
     
  • 4.11, Alladin (?), 10:06, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не знаю, zen3 вышел в 20 году. zen2 вышел в 19 году.
    обновлять железо по мере выхода через каждый год?)
     
     
  • 5.18, Аноним (6), 10:20, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    К тому же дата выпуска даже не ориентир, например я купил 5700G совсем недавно, не знаю какого качества у него зен, но меня всё устраивает!
     
  • 5.23, Аноним (23), 10:33, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Amd запутывает покупателей и продает zen2 для ноутбуков 5 раз перемаркированные, так что старые процессоры вполне могут быть "новыми". Так что обновляться нужно очень внимательно.

    Думаю при недоступности инструкций эта защита будет неактивной.

     
     
  • 6.25, Аноним (23), 10:38, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проверил, нет проблемы

    This change enables Shadow Stack protection on applications and libraries built with gcc (C, C++), clang (C, C++), and rustc (Rust) by default *on x86_64 machines that support it* on Fedora Linux 45

     
  • 5.37, test (??), 11:19, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Чего ? zen 2 это райзен 5 2ххх. Он что вышел в 19хх годах?
     
     
  • 6.38, Аноним (-), 11:31, 02/07/2026 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 3.10, Аноним (10), 10:05, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А вы думали, что разработчики обязаны поддерживать ваш хлам вечно?
    Это опенсорс, тут никто никому не должен.

    Вы всегда можете сделать форк без этих изменений.

     
     
  • 4.13, Alladin (?), 10:08, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +2 +/
    даже кора дуба с первым 86_64 еще что-то может, а мы тут про zen2 к примеру.. это хлам?, совсем нет
     
     
  • 5.19, Аноним (19), 10:21, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > даже кора дуба с первым 86_64 еще что-то может,

    "кому и кобыла - невеста" (с)
    "Что-то" - это хорошее описание.

    > про zen2 к примеру.. это хлам?, совсем нет

    А теперь зададися вопросом ʼа нужна ли последняя федора c такой защитой юзерам зен2ʼ.
    Наверное нужна.
    Но реализовать ее без аппаратной поддержки не имеет смысла, так как производительность.


     
     
  • 6.45, анм (?), 13:09, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +2 +/
    правильная постановка вопроса - а нужна ли федора? ответ очевиден
     
     
  • 7.50, _kp (ok), 14:38, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Процент десктопов имеено с Redhat крайне мал и составляет около 0.1 - 0.15%.
    Не все компьютеры в этой группе устаревшие, и проблема устаревания затронет лишь небольшую часть их них.
    А горевать о проблемах на 0.02% десктопов.. да нет никаких проблем.
     
  • 2.3, Аноним (3), 09:36, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Так cf-protection это аппаратная фича. Фактически, всё, что делается, делается для облачных серверов, и облачные сервера обновляются каждые 2 года или около того. Тебе не о чем беспокоиться, можешь отключить это всё.
     
     
  • 3.14, Alladin (?), 10:09, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    а fedora это не обязательно облачная инфра которую обровляют каждые два года. + ничего не отключишь, разве что не пересоберешь.

     
  • 3.16, Аноним (16), 10:16, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну щас прям. 3 года это к чему стремятся, на практике больше, а в частных так и десятилетие процы запросто увидеть, тем более после 2022.
     
  • 2.4, Аноним (6), 09:37, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    У вас небезопасный проц. Нужно менять!
     
  • 2.5, Соль земли2 (?), 09:38, 02/07/2026 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     

  • 1.7, Аноним (7), 09:43, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какой это ключ gcc? Или как это реализовано?
     
     
  • 2.9, Аноним (3), 09:53, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    В глибц. Бинари и так с cf-protection собираются, но только если там нет раста.
     
     
  • 3.28, Аноним (6), 10:48, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Интересует вопрос как это реализовано в случае запуска на несовместимом железе. В офишл анонсе этот момент даже не упоминается.
     
     
  • 4.33, Аноним (3), 10:54, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Инструкции CET/IBT просто NOP в таком случае.
     
  • 4.48, нах. (?), 14:07, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    дык - illegal instruction тебе, и привет.

    ишь, захотел, на немодной своей коре дуба пре-альфа-тест-версию ентер-прайсного дистрибутива запускать!

     
  • 4.56, Аноним (56), 17:10, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Перед использованием фичи происходит проверка её поддержки через CPUID. В общем, точно так же, как и в случае кучи других аппаратно-специфичных фич
     

  • 1.8, aname (ok), 09:50, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Они так и раст сделают ненужным (хотя, казалось бы, что поменялось бы)
     
     
  • 2.12, Аноним (10), 10:08, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > в случае переполнения буфера в стеке

    А остальное?
    Или use-after-free, double-free и т.д уже не страшно?

    Сейчас просто пытаются костылями исправить убогость.

     
     
  • 3.20, aname (ok), 10:22, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    >> в случае переполнения буфера в стеке
    > А остальное?
    > Или use-after-free, double-free и т.д уже не страшно?
    > Сейчас просто пытаются костылями исправить убогость.

    Убогость ансейфа раста, надо понимать?

     
     
  • 4.30, Аноним (30), 10:51, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Убогость СИ.
    В расте хоть сейф есть, а у д̶ы̶р̶я̶в̶ы̶х̶ перфорированных весь код ансейф.

    К расту судя по его добавлению в AOSP, ядро, клоудфларю или git претензий нет 🤷🏻‍♂️.

     
     
  • 5.35, aname (ok), 11:11, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > Убогость СИ.
    > В расте хоть сейф есть, а у д̶ы̶р̶я̶в̶ы̶х̶ перфорированных
    > весь код ансейф.
    > К расту судя по его добавлению в AOSP, ядро, клоудфларю или git
    > претензий нет 🤷🏻‍♂️.

    Да, мы все видели, что произошло с клаудфларяй после добавления раста.
    То ли ещё будет.

    Ну да, в Си весь код ансейф. Пишите нормально- будет нормально. seL-4 отличный пример, что если писать нормально- будет нормально. Хочешь спорить- пруфуй дыры в seL-4.

     
     
  • 6.39, Аноним (39), 11:32, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Оно упало Это именно то, что предлагают разработчики теневого стека В когда ... большой текст свёрнут, показать
     
     
  • 7.41, aname (ok), 11:54, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >> Хочешь спорить- пруфуй дыры в seL-4.
    > Какая поsosная попытка манипуляции.
    > Тебе должно быть стыдно.
    > Ну ладно, опущусь на твой уровень.
    > 1. Сайт самого sel4
    > sel4.systems/About/FAQ.html#does-sel4-have-zero-bugs
    > There may still be unexpected features in the specification and one or
    > more of the assumptions may not apply.
    > 2. Оказывается в доке могут быть не описаны особенности платформ
    > github.com/seL4/seL4/issues/1108

    Тебе до моего уровня дорости бы.

    > По причине.. ну не знаю, того что инструмент овно?

    Почему же, почему же, uutils не стал coreutils?
    Эх, оказывается, вот оно чо.
    А ведь есть ещё горы всего.

    > Но почему никто не пишет?

    Видимо, в этом есть какая- то причина?

    > Это именно то, что предлагают разработчики "теневого стека")

    А ведь для этого разработали раст. Я против траты усилий создателей процессоров на то, что уже реализовано в расте.

    > seL-4 - отличный пример, что убогая дьipяшка
    > не может выдать нормальный код.

    На чём же написана seL-4?

    > Какая поsosная попытка манипуляции.

    Ну, какие ты можешь выдать манипуляции, кстати, осуждаю, такие ты и выдаёшь
    Пруфы про дыры- то будут? CVE, RCE?

     
     
  • 8.43, Аноним (43), 12:17, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Ахахаха Давай жги еще Что значит не стал Планы замены coreutils никуда не ис... большой текст свёрнут, показать
     
     
  • 9.46, aname (ok), 13:18, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Так инструмент же идеальный, а что случилось- то Кажетс... текст свёрнут, показать
     
     
  • 10.49, Аноним (49), 14:37, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Это бред растохейтеров, которые даже не читали документацию Баги Они случаются... большой текст свёрнут, показать
     
     
  • 11.55, aname (ok), 16:28, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Качество раста мы увидели на примере клаудфлари и пробле... большой текст свёрнут, показать
     
  • 4.32, Аноним (32), 10:52, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Убогость СИ.
    В расте хоть сейф есть, а у д̶ы̶р̶я̶в̶ы̶х̶ перфорированных весь код ансейф.

    К расту судя по его добавлению в AOSP, ядро, клоудфларю или git претензий нет 🤷🏻‍♂️.

     
  • 4.42, Аноним (42), 11:59, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У тебя половина библиотек в расте дёргает сишные функции. А оставшиеся unsafe на unsafe и unsafe-ом погоняет. И ты ещё выпендриваешься. Тебя нужно переписать. А миллионы строк оттестированного кода на Си - нет. Прими это. Следущая остановка - депрессия.
     
     
  • 5.44, Аноним (44), 12:44, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > У тебя половина библиотек в расте дёргает сишные функции.

    Отлично, значит есть что улучшить.

    > А оставшиеся unsafe на unsafe и unsafe-ом погоняет.

    Громкий бздох в лужу, но я не вижу доказательств.

    > И ты ещё выпендриваешься. Тебя нужно переписать.

    У тебя какой-то приступ шuзы?

    > А миллионы строк оттестированного кода на Си - нет.

    1000+ CVE в ядре за месяц наверное нашли в каких-то других миллионах строк кода)
    Dirty Fag'и продолжают делайть Copy Fail'ы.
    Дырени в Х11 находят уже третий десяток лет.

    > Прими это. Следущая остановка - депрессия.

    Депрессия от чего?
    Я то доволен: дырявый код заменеяется на менее дырявый (ошибки логики и тд).
    Вон хром выкинул FreeType от дырявых.

    Так что я доволен, жую попкорн.


     
  • 3.52, _kp (ok), 15:21, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    >>Сейчас просто пытаются костылями исправить убогость.

    Убогость вообще то, прямо внесли еретическими изменениями стандартов, и UB стало там, где его раньше не было. И компиляция без отключения флагами компилятора планового UB стала не гаррантировать результат.

     
     
  • 4.54, Аноним (54), 16:01, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    А в чем проблема? Сиди на старом стандарте.
    Для СИшки еще хорошим тоном считается прибивание компилятора и его версии.
    Так как конь-пиляторов куча, ни один из них не реализует стандарт полностью (здорово правда? (с)).
    Создатели компиляторов сидят на разных веществах поэтому в них UB/ID могут решаться по разному.


     

  • 1.17, Аноним (6), 10:18, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В других новостях - федора не смогла протолкнуть идею AI desktop хомяч.. т.е. своему камюнити из-за преобладающего сопротивления грызуно^H^H^H её членов. Федора обещает показать кускину ма..^H^H реформировать процесс убрав из него недовольную галерку ради большей открытости, прогресса и добра!
     
     
  • 2.21, Аноним (6), 10:22, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Извиняюсь за грамматические ошибки, писал школьник.
     
  • 2.22, Аноним (22), 10:31, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Там ровно наоборот, поверили на слова авторам, а недовольных не заметили и чуть не утвердили AI Desktop. Теперь пытаются переделать процессы, чтобы учитывать мнение сообщества. https://www.opennet.me/65454
     
     
  • 3.26, Аноним (6), 10:44, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Я про вчерашний анонс. Если федора была бы заинтересована во мнении камюнити, то вопрос с АИ десктопом больше бы не поднимался. Вместо этого федора собирается проталкивать это дальше под более отказоустойчивым бюрократическим процессом:
    https://www.mail-archive.com/devel-announce@lists.fedoraproject.org/msg03
     
     
  • 4.27, Аноним (27), 10:48, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > Я про вчерашний анонс. Если федора была бы заинтересована во мнении камюнити,

    А много ли каммюниким привносит в федору?

    > то вопрос с АИ десктопом больше бы не поднимался.

    Если выкидывать любую идею от которой подгорело у снежинок, то сидели бы досих пор на первопнях.

    > Вместо этого федора собирается проталкивать это дальше под более отказоустойчивым бюрократическим процессом:
    > https://www.mail-archive.com/devel-announce@lists.fedoraproject.org/msg03

    Логично.
    Если представитель Сообщества™ просто кдуахтает на форумах и рассылках, то зачем его слушать?


     
     
  • 5.31, Аноним (6), 10:52, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Ну правильно, только одни пользователи, кому они нужны если можно пилить неунужно-в-сферическом-вакууме на деньги корпов/железовендоров.
     
     
  • 6.34, Аноним (34), 10:55, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты про деньги рпавильно вспомнил.

    Да. Федора это песочница шапки.
    В которой проверяются идеи и фичи, нужные для клиентов шапки (пользователей) и потому будут добавляться в RHEL.
    Поэтому в первую очередь должны учитываться интересы тех, ко вкладывает ресурсы.
    Васяны которые ничего не делают, но требуют должны посылаться на Хурд - там точно нет ни корпораций, ни денег.

     

  • 1.29, Аноним (29), 10:50, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Несовпадение адресов приводит к генерации исключения, блокирующего ситуации, когда эксплоиту удалось перезаписать адрес в основном стеке.

    Ахаха! Кажется СИшники придумали panic.
    А ведь столько раз рассказывали "уууу! нельзя чтобы программа падала! пусть лучше рута подарит злоумышленнику!"

    Что дальше?
    Добавят борова?

     
     
  • 2.47, Аноним (47), 13:28, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > Что дальше?

    Перейдёт на Паскаль, там ещё в прошлом веке были статические и динамические проверки диапазоном массивов.

     

  • 1.40, Axonic (ok), 11:38, 02/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Дилетантский вопрос:

    зачем тогда вообще сравнивать с адресом основного стека? Почему сразу не брать адрес возврата из теневого стека?

     
     
  • 2.53, аноним12345 (?), 15:44, 02/07/2026 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.57, Аноним (47), 17:15, 02/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы загасить трояна на раннем этапе.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру