Linuxeden开源社区Linux内核中供用户空间应用程序直接访问内核内置加密引擎的AF_ALG接口,正因“巨大的攻击面”而进入快速弃用周期。随着基于AI/LLM的工具不断揭示新的漏洞,该接口的安全风险日益凸显。
即将发布的Linux 7.2内核将全面弃用AF_ALG。 Eric Biggers在提交至内核加密子系统“cryptodev”树的补丁中解释道:
“AF_ALG几乎完全是不必要的,它暴露了一个巨大的攻击面,并且未能经受住现代漏洞发现工具的检验。最新的一个漏洞甚至拥有自己的专属网站,提供了一个能可靠地获取大多数Linux发行版root权限的小型Python脚本:https://copy.fail/
这种情况是不可持续的,尤其是在大语言模型加速了漏洞发现速度的当下。我们投入在这个接口上的精力,与真正使用它的少数程序相比,完全不成比例。而且,这些程序使用用户空间代码反而会更好。
这些问题已经在许多邮件列表讨论中被指出。但直到现在,它们还没有反映在文档或kconfig菜单本身中,而漏洞仍在不断出现。让我们着手记录这次弃用。”
除了弃用决定,在Linux 7.2中,AF_ALG的零拷贝支持也因相关的安全问题而被移除。
此外,从上周开始,该补丁已向前推进,并移除了AF_ALG的CPU外加密加速支持。 在AF_ALG中使用硬件加速的加密卸载功能已被认为过于危险,因此将在Linux 7.2中直接移除:
“AF_ALG已被弃用并向非特权用户空间开放。请仅使用漏洞最少的算法实现:即纯软件实现。
这移除了AF_ALG的一个主要优势,即能够与CPU外加速器配合使用。然而,使用CPU外加速器会带来巨大的开销,无论是在性能还是攻击面方面。我尚未看到在现实世界、对性能要求极高的工作负载中,通过AF_ALG使用加速器能真正胜过在用户空间执行加密运算的情况。
如果真的证明使用CPU外加速器确实有优势,那么应该开发一个真正适合它的新API。”
Linux 7.2的合并窗口预计将于6月中旬开启,届时将包含大量变更:既有许多新的内核功能,也需要进一步应对日益增多的AI/LLM发现所带来的影响。