ClickCease Linux-Kernel 6.7 mit verschiedenen Sicherheitsverbesserungen veröffentlicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Linux-Kernel 6.7 mit verschiedenen Sicherheitsverbesserungen veröffentlicht

von Rohan Timalsina

Januar 25, 2024 - TuxCare-Expertenteam

Linus Torvalds kündigte die Veröffentlichung von Linux-Kernel 6.7 am 7. Januar 2024 an, der verschiedene Verbesserungen und neue Funktionen enthält. Eine der wichtigsten Neuerungen ist das Dateisystem bcachefs, das mit Btrfs und ZFS konkurrieren und gleichzeitig die Geschwindigkeit von EXT4 und XFS beibehalten soll. Dieser Artikel befasst sich mit den Sicherheitsfunktionen und Aktualisierungen, die in dieser neuen Kernel-Serie eingeführt wurden.

 

Sicherheitsfunktionen im Linux-Kernel 6.7

 

Aktualisierungen des Krypto-Subsystems

 

Die Aktualisierungen des Krypto-Subsystems im Linux-Kernel 6.7 umfassen Routineänderungen und verschiedene Aktualisierungen der Krypto-Beschleunigung für verschiedene System-on-Chips (SoCs). Das Update reduziert insbesondere die Rolle unsicherer und veralteter Krypto-Hashing-Algorithmen. Die SHA1-Unterstützung für das Signieren von Kernel-Modulen oder das Importieren von X.509-Zertifikaten wurde entfernt, so dass für diese Zwecke SHA256 oder bessere Algorithmen empfohlen werden. Außerdem wurden MD4- und MD5-Hashing und -Signaturen in X.509-Zertifikaten aufgrund von Sicherheitsbedenken abgeschafft.

 

Härtung.config erstellen

 

Linux 6.7 führt ein neues Härtungskonfigurationsprofil ein, das bei der Erstellung eines sicherheitsgehärteten Kernels mit einigen vernünftigen Voreinstellungen hilft. Das Update enthält ein Kconfig-Fragment mit grundlegenden Härtungsoptionen, die durch Ausführen von "make hardening.config" aktiviert werden können. Einige der Härtungsoptionen umfassen die Durchsetzung grundlegender Kernel-Speicherberechtigungen, die Randomisierung des Adressraum-Layouts, die Randomisierung des Stack-Offsets bei Syscall-Einträgen, die Überprüfung der Pufferlänge und verschiedene Sicherheitseinstellungen.

 

Landlock Zugangskontrollen

 

In Linux 6.7 hat Landlock, ein Sandboxing-Feature für unprivilegierte Anwendungen, das in Linux 5.13 integriert wurde, seine Fähigkeiten über die Zugriffskontrolle auf das Dateisystem hinaus erweitert und bietet nun auch erste Unterstützung für Netzwerke. Implementiert als stapelbares Linux-Sicherheitsmodul (LSM), führt Landlock nun Zugriffsrechte wie LANDLOCK_ACCESS_NET_BIND_TCP und LANDLOCK_ACCESS_NET_CONNECT_TCP ein. Diese Aktualisierung ermöglicht die Einschränkung von TCP-Socket bind() und connect() Systemaufrufen für bestimmte Ports.

 

PE-Kopferzeugung

 

Die x86/boot-Änderungen für Linux-Kernel 6.7 beinhalten eine erhebliche Überarbeitung der PE-Header-Generierung unter der Leitung von Ard Biesheuvel. Ziel ist es, eine moderne, 4K-ausgerichtete Kernel-Image-Ansicht für verbesserte Systemsicherheit zu schaffen. Diese Umstrukturierung wird dadurch ermöglicht, dass der EFI-Stub-Boot-Flow nicht mehr gleichzeitig auf ausführbaren und beschreibbaren Speicher zurückgreift. Das neue Layout zeigt den Code und die schreibgeschützten Daten des Dekompressors als .text-Abschnitt und data/bss als .data-Abschnitt, mit 4K-Ausrichtung und eingeschränkten Berechtigungen. Dies ist wichtig für die Kompatibilität mit den Sicherheitsmaßnahmen auf x86-PCs, die für Windows entwickelt wurden.

 

Andere neue Funktionen im Linux-Kernel 6.7

 

Diese Version führt auch die Unterstützung für NVIDIAs GSP-Firmware im Open-Source-Grafiktreiber Nouveau ein. Zu den bemerkenswerten Aktualisierungen gehören Erweiterungen des Btrfs-Dateisystems, Netzwerkverbesserungen und Aktualisierungen für Dateisysteme wie EXT4, F2FS und exFAT. Der Kernel bietet Unterstützung für neue Hardware, Architekturen und AMD-Plattformen sowie Sicherheitsaktualisierungen, wie z. B. Verbesserungen von AppArmor.

 

Linux-Kernel 4.14 hat das Ende seiner Lebensdauer erreicht

 

Die langfristig unterstützte (LTS) Linux-Kernelreihe 4.14, die ursprünglich am 12. November 2017 veröffentlicht wurde, hat nach über sechs Jahren Wartung offiziell das Ende ihrer Lebensdauer erreicht. Benutzern, die noch mit dieser Kernel-Version arbeiten, wird empfohlen, auf neuere langfristig unterstützte Kernel wie Linux 5.4 (unterstützt bis Dezember 2025), Linux 5.10, Linux 5.15, Linux 6.1 oder Linux 6.6 (alle unterstützt bis Dezember 2026) zu aktualisieren.

 

Schlussfolgerung

 

Linux-Kernel 6.7 steht zum Download bereit, Linux-Kernel 6.8 wird voraussichtlich Mitte März 2024 folgen. Mit einer kurzen Support-Spanne von ein paar Monaten wird er bald von Linux-Kernel 6.8 abgelöst werden.

Der Kernel ist die Kernkomponente des Linux-Betriebssystems, weshalb es für die Sicherheit des gesamten Systems entscheidend ist, ihn zu sichern. TuxCare bietet KernelCare Enterprise an, das automatisch alle Sicherheitsupdates und Patches auf den Linux-Kernel anwendet, ohne dass ein Neustart erforderlich ist oder Wartungsfenster geplant werden müssen.

Erfahren Sie mehr über Live-Patching und wie KernelCare Live-Patching funktioniert.

 

Die Quellen für diesen Artikel sind auf Phoronix zu finden.

Zusammenfassung
Linux-Kernel 6.7 mit verschiedenen Sicherheitsverbesserungen veröffentlicht
Artikel Name
Linux-Kernel 6.7 mit verschiedenen Sicherheitsverbesserungen veröffentlicht
Beschreibung
Entdecken Sie die neuesten Verbesserungen im Linux-Kernel 6.7, einschließlich verbesserter Sicherheitsfunktionen und Updates. Erfahren Sie, wie Sie den Linux-Kernel sichern können.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!