Intel fournit un sous-ensemble de la version 2.35 standard de Binutils qui inclut des mesures d’atténuation de la valeur de charge injectable.
- Le Guide d’installation du Intel® Software Guard Extensions (Intel® SGX) pour Linux* recommande de télécharger des outils d’atténuation, nommés as.ld.objdump.gold.r2.tar.gz, à partir du référentiel binaire Intel SGX Linux.
- Impossible de valider en quoi les Binutils fournis par Intel sont différents des Binutils standard à jour.
Intel fournit un sous-ensemble de la norme GNU Binutils 2.35, sans modifications, car de nombreux dépôts de distributions Linux n’ont pas été mis à jour vers la version 2.35 ou 2.36. Intel continuera à fournir le sous-ensemble Bunutils 2.35 jusqu’à ce que les dépôts de la plupart des distributions Linux aient Binutils 2.35 ou version ultérieure.
Intel recommande de lier Intel SGX applications à ld.gold plutôt qu’à ld , car ld.gold impose des segments exécutables en lecture seule lors de la liaison de code. Les segments de mémoire non exécutables en lecture seule contribuent à renforcer les enclaves, car ils empêchent les dépassements de mémoire tampon et autres attaques de mémoire. Les attaquants ne peuvent ni écrire ni exécuter de code dans ces segments de mémoire. Ld.gold a également été signalé comme un linker plus rapide que LD.
Lien avec :
ld.gold --rosegment
ou
-Wl,-fuse-ld=gold –Wl,--rosegment
Le Guide d’installation Intel SGX pour Linux se trouve dans le dossier Documentation de la dernière version du SDK Intel® Software Guard Extensions pour Linux*.