В SUSE/openSUSE будет отключено автоопределение нетипичных файловых систем

Разработчики SUSE объявили о намерении отключить по умолчанию устаревшие или редко применяемые файловые системы, поддерживаемые ядром Linux. Изменение планируется включить в состав будущих выпусков SLE 15-SP1 и openSUSE Leap 15.1. В качестве причины называется желание защитить систему от возможных атак, проводимых через подключение носителей со специально модифицированными ФС, эксплуатирующих уязвимости в их реализациях.

Модули с реализацией 21 ФС занесены в чёрный список и не будут загружаться по умолчанию при подключении накопителя с данными ФС. Изменение влияет только на автозагрузку модулей при монтировании с автоматическим определением ФС — пользователь по-прежнему может вручную примонтировать ФС при помощи команды mount, явно указав тип ФС (например, «mount -t jfs»), или загрузив нужный модуль (например, «modprobe jfs»). Отмечается, что для многих из помещённых в чёрный список ФС сопровождение давно сводится лишь к поддержанию совместимости с API ядра и их код никогда не проходил аудит и возможно содержит уязвимости, которые можно эксплуатировать при подключении вредоносного внешнего накопителя.

В список блокируемых по умолчанию ФС в том числе попала активно развиваемая компанией Samsung файловая система F2FS, используемая на Flash-накопителях мобильных устройств. В качестве причины помещения F2FS в чёрный список называется отсутствие в данной ФС механизма определения версии ФС, что не позволяет гарантировать сохранение совместимости при бэкпортировании исправлений проблем с безопасностью.

Состав чёрного списка:

  • adfs
  • affs
  • bfs
  • befs
  • cramfs
  • efs
  • erofs
  • exofs
  • freevxfs
  • f2fs
  • hfs (автозагрузка модуля hfsplus сохранена)
  • hpfs (OS/2)
  • jffs2
  • jfs
  • minix
  • nilfs2
  • qnx4
  • qnx6
  • sysv
  • ubifs
  • ufs

В список планируется также добавить omfs и ntfs (давно не развивается, следует использовать ntfs-3g).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.