Пользователи компьютерных игр столкнулись с невозможностью запуска игры Witcher 2 на системах с новыми ядрами Linux. В частности, наблюдается крах при запуске игры в окружении ядра 3.17.7 и более новых выпусков. После анализа ситуации разработчики выяснили, что причиной являются добавленные в недавних выпусках ядра дополнительные проверки параметров системного вызова "set_thread_area".

Линус Торвальдс присоединился к дискуссии и подтвердил свою приверженность принципу сохранения полной совместимости с приложениями, заключающемуся в том, что программные интерфейсы должны обеспечивать обратную совместимость, и никакие изменения в ядре не должны нарушать корректную работу пользовательских приложений. Чтобы не допустить подобные инциденты с играми в будущем, Линус посоветовал ответственным за тестирование ядра разработчикам включить игровые приложения в число проверяемых программ, а разработчикам проприетарных игр более активно сотрудничать с разработчиками ядра и сразу сообщать о всех возникших проблемах. В качестве решения проблемы с Witcher 2 Линус указал на необходимость смягчить добавленные в системный вызов ограничения "set_thread_area" или организовать жесткие проверки только для серверных систем.

Неоднозначность ситуации заключается в том, что добавление дополнительных проверок параметров системного вызова "set_thread_area" было осуществлено в рамках устранения выявленных в декабре критических уязвимостей (CVE-2014-9322, CVE-2014-9090) и данные проверки необходимы для предотвращения атак, которые могут привести к повышению привилегий в системе. При этом старое недокументированное поведение системного вызова использовалось в игре Witcher 2. Для поиска свободных слотов TLS в системный вызов "set_thread_area" передавалась полностью обнулённая структура и такой метод работал в Witcher 2, хотя формально требовалась установка флагов read_exec_only и seg_not_present. Поведение системного вызова при передаче нулевых данных не было явно определено в документации, но воспринималось некоторыми разработчиками приложений как выполнение вызова без выделения сегментов, при том, что фактически подобные вызовы без установленного флага seg_not_present приводили к созданию доступного на чтение и запись 16-битного сегмента с нулевыми границами. В новых выпусках ядра передача в "set_thread_area" структур, содержащих 16-разрядные сегменты TLS была запрещена, так как подобные манипуляции с LDT используются в эксплоите.

Таким образом возникла дилемма: сохранить совместимость, но оставить потенциальную уязвимость, или устранить вектор атаки, но нарушить совместимость программных интерфейсов. В случае с игрой Witcher удалось найти компромиссное обходное решение и подготовить патчи, воспринимающие передачу структуры user_desc со всеми нулевыми значениями как операцию поиска свободного слота, и не проводить в этом случае заполнение сегмента TLS.

Источник: http://www.opennet.ru/opennews/art.shtml?num=41528