В SUSE/openSUSE будет отключено автоопределение нетипичных файловых систем

9 февраля 2019 года

Разработчики SUSE объявили о намерении отключить по умолчанию устаревшие или редко применяемые файловые системы, поддерживаемые ядром Linux. Изменение планируется включить в состав будущих выпусков SLE 15-SP1 и openSUSE Leap 15.1. В качестве причины называется желание защитить систему от возможных атак, проводимых через подключение носителей со специально модифицированными ФС, эксплуатирующих уязвимости в их реализациях.

Модули с реализацией 21 ФС занесены в чёрный список и не будут загружаться по умолчанию при подключении накопителя с данными ФС. Изменение влияет только на автозагрузку модулей при монтировании с автоматическим определением ФС - пользователь по-прежнему может вручную примонтировать ФС при помощи команды mount, явно указав тип ФС (например, "mount -t jfs"), или загрузив нужный модуль (например, "modprobe jfs"). Отмечается, что для многих из помещённых в чёрный список ФС сопровождение давно сводится лишь к поддержанию совместимости с API ядра и их код никогда не проходил аудит и возможно содержит уязвимости, которые можно эксплуатировать при подключении вредоносного внешнего накопителя.

В список блокируемых по умолчанию ФС в том числе попала активно развиваемая компанией Samsung файловая система F2FS, используемая на Flash-накопителях мобильных устройств. В качестве причины помещения F2FS в чёрный список называется отсутствие в данной ФС механизма определения версии ФС, что не позволяет гарантировать сохранение совместимости при бэкпортировании исправлений проблем с безопасностью.

Состав чёрного списка:

• adfs
• affs
• bfs
• befs
• cramfs
• efs
• erofs
• exofs
• freevxfs
• f2fs
• hfs (автозагрузка модуля hfsplus сохранена)
• hpfs (OS/2)
• jffs2
• jfs
• minix
• nilfs2
• qnx4
• qnx6
• sysv
• ubifs
• ufs

В список планируется также добавить omfs и ntfs (давно не развивается, следует использовать ntfs-3g).