Linus Torvalds siger, at målrettet fuzzing forbedrer Linux-sikkerheden

  • Sep 06, 2023

Linux 4.14 udgivelseskandidat fem er ude. "Gå ud og test," siger Linus Torvalds.

linus-toravlds-linuxcon-toronto.jpg

Linus Torvalds annoncerer den femte udgivelseskandidat til Linux-kerneversion 4.14, og har afsløret, at fuzzing producerer en konstant strøm af sikkerhedsrettelser.

Fuzzing involverer stresstest af et system ved at generere tilfældig kode for at inducere fejl, som igen kan hjælpe med at identificere potentielle sikkerhedsfejl. Fuzzing hjælper softwareudviklere med at fange fejl, før de sender software til brugerne.

Google bruger en række uklare værktøjer til at finde fejl i sin og andre leverandørers software. Microsoft har lanceret Projekt Springfield fuzzing service, der giver virksomhedskunder mulighed for at teste deres egen software.

Som Torvalds påpeger, har Linux-kerneudviklere brugt fuzzing-programmer siden begyndelsen, såsom værktøjer som "crashme", der blev udgivet i 1991 og næsten 20 år senere blev brugt af Googles sikkerhedsforsker Tavis Ormandy at teste, hvor godt beskyttet en vært er, når data, der ikke er tillid til, behandles i en virtuel maskine.

"Den anden ting, der måske er værd at nævne, er, hvor meget tilfældigt fuzzing folk laver, og det er at finde ting," skriver Torvalds.

"Vi har altid lavet fuzzing (hvem husker det gamle "crashme"-program, der lige genererede tilfældig kode og hoppede til det? Vi plejede at gøre det ret aktivt meget tidligt), men folk har lavet nogle gode målrettede fuzzing af driver-undersystemer osv., og der er kommet forskellige rettelser (heller ikke kun denne sidste uge) ud af dem indsats. Meget rart at se."

Torvalds nævner, at 4.14's udvikling indtil nu har "følt en smule mere rodet end måske burde have været" men er nu glattet ud og gennemgår nogle af rettelserne i denne build til x86-systemer og systemer med AMD chips. Der er også opdateringer til flere drivere, kernekomponenter og værktøj.

Som tidligere rapporteret, Linux 4.14 er 2017's Long-Term Stable-udgivelse, som indtil videre har introduceret core memory management funktioner, enhedsdriveropdateringer og ændringer til dokumentation, arkitektur, filsystemer, netværk og værktøj.