CompCert编译器在只执行文本段操作系统中的常量存储问题分析

问题背景

CompCert编译器在代码生成过程中，会将某些常量数据直接存储在程序的文本段(.text)中。这种设计在大多数操作系统环境下运行良好，但在一些强化安全性的操作系统(如OpenBSD)上会导致程序运行失败。这是因为这些操作系统默认将文本段设置为"只执行"(execute-only)模式，作为防止代码注入攻击的安全措施。

技术细节

在x86-64架构上，CompCert编译器会将以下两类数据放入文本段：

1. 跳转表(jump tables)：用于实现switch-case等控制流结构
2. 特定浮点常量：例如在__compcert_i64_dtou函数中使用的两个浮点常量

当操作系统将文本段设置为只执行权限时，任何尝试从该段读取数据的操作(而不仅仅是执行代码)都会引发内存访问异常，导致程序崩溃。

受影响平台

这一问题主要影响以下架构上的OpenBSD系统：

• x86-64
• AArch64
• MIPS64
• PowerPC32/PowerPC64
• RISC-V
• SPARC64

这些平台在OpenBSD下默认启用了文本段只执行保护。

临时解决方案

在问题修复前，开发者可以通过以下方式临时解决：

1. 在链接时添加-Wl,--no-execute-only选项，强制取消文本段的只执行属性
2. 手动修改生成的汇编代码，将常量数据移至.rodata段

根本解决方案

CompCert开发团队已经提交了修复(a899ced8e)，将相关常量数据从.text段移至.rodata段。这一修改既解决了安全性问题，又保持了程序的功能完整性。

.rodata段专门用于存储只读数据，具有读取权限但不具有执行权限，完美适配现代操作系统的内存保护机制。这种改变不会影响程序的正确性，因为：

1. 跳转表本来就是只读的
2. 浮点常量也是编译时确定的不可变数据

对性能的影响

将常量从.text段移至.rodata段可能会带来微小的性能差异：

• 优点：更好的缓存利用率(数据与代码分离)
• 潜在缺点：在极少数情况下可能增加一个缓存行的加载

但在绝大多数实际应用中，这种影响可以忽略不计。

安全启示

这一问题的解决体现了现代编译器设计中需要考虑的安全因素：

1. 代码和数据的严格分离原则
2. 对操作系统安全特性的适配
3. 最小权限原则在内存访问中的应用

CompCert作为经过形式化验证的编译器，通过这一改进进一步增强了其在安全关键系统中的适用性。