<div dir="ltr"><div>A little bit of a late review but.. <br></div><div><br></div><div>Acked-by: Luke Nowakowski-Krijger <<a href="mailto:luke.nowakowskikrijger@canonical.com">luke.nowakowskikrijger@canonical.com</a>></div><div><br></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Dec 14, 2022 at 11:28 PM Juerg Haefliger <<a href="mailto:juerg.haefliger@canonical.com">juerg.haefliger@canonical.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Modules under the drivers/staging hierarchy get little attention when it comes to vulnerabilities. It is possible that memory mapping tricks that expose kernel internals would go unnoticed. Therefore, do not sign staging modules so that they cannot be loaded in a secure boot environment.<br>
<br>
[juergh: This functionality has been disable accidentially in impish and<br>
 subsequently fixed (and enhanced) in kintetic. Bring that back to jammy.]<br>
<br>
Juerg Haefliger (6):<br>
  UBUNTU: [Packaging] Move and update signature inclusion list<br>
  UBUNTU: SAUCE: Add selective signing of staging modules<br>
  UBUNTU: [Packaging] Add module-signature-check<br>
  UBUNTU: [Packaging] module-signature-check: Check<br>
    debian.<foo>/signature-inclusion<br>
  UBUNTU: [Packaging] Introduce debian/scripts/sign-module<br>
  UBUNTU: SAUCE: Switch to using debian/scripts/sign-module<br>
<br>
 debian/rules.d/<a href="http://4-checks.mk" rel="noreferrer" target="_blank">4-checks.mk</a>                    |  9 ++-<br>
 debian/scripts/module-signature-check         | 76 +++++++++++++++++++<br>
 debian/scripts/sign-module                    | 40 ++++++++++<br>
 .../staging => debian}/signature-inclusion    |  7 --<br>
 scripts/Makefile.modinst                      |  8 +-<br>
 5 files changed, 129 insertions(+), 11 deletions(-)<br>
 create mode 100755 debian/scripts/module-signature-check<br>
 create mode 100755 debian/scripts/sign-module<br>
 rename {drivers/staging => debian}/signature-inclusion (73%)<br>
<br>
-- <br>
2.34.1<br>
<br>
<br>
-- <br>
kernel-team mailing list<br>
<a href="mailto:kernel-team@lists.ubuntu.com" target="_blank">kernel-team@lists.ubuntu.com</a><br>
<a href="https://lists.ubuntu.com/mailman/listinfo/kernel-team" rel="noreferrer" target="_blank">https://lists.ubuntu.com/mailman/listinfo/kernel-team</a><br>
</blockquote></div></div>