sábado, 6 de abril de 2019
Os switches do Spectre/Meltdown foram melhorados e podem finalmente chegar ao Kernel Linux
Confira !!#notíicia, #linux,#
No momento em que o próximo kernel do Linux for lançado, haverá aproximadamente um ano e meio desde que as vulnerabilidades de execução especulativa do CPU Specter e Meltdown tornaram-se públicas e as mitigações começaram a aparecer dentro do kernel. Finalmente, agora ele está sendo discutido novamente pelos desenvolvedores upstream, melhorando os switches / botões ajustáveis para configurar facilmente essas atenuações que degradam o desempenho.
Desde o início, é possível desativar a maioria dessas atenuações em tempo de execução (como a __user sanitization de ponteiro para o Specter V1), mas os parâmetros da linha de comando do kernel a serem usados não têm sido os mais diretos ou fáceis de lembrar ... Não houve uma mudança global para matar as mitigações do Specter / Meltdow nem uma opção fácil de adicionar. Nesta fase, para desabilitar as mitigações na maioria das versões corrigidas do kernel Linux, é necessário lembrar e adicionar " pti = off spectre_v2 = off l1tf = off nospec_store_bypass_disable ". Da mesma forma, se quiser aumentar ainda mais a segurança do sistema com as "atenuações máximas", há " l1tf = full spec_store_bypass_disable = em spectre_v2_user = on " para proteger melhor o sistema contra essas vulnerabilidades, mas também para atingir o desempenho ainda mais severamente devido a HT / SMT sendo desativado entre outras medidas.
O desenvolvedor da Red Hat, Josh Poimboeuf, reacendeu a discussão sobre oferecer alguns sintetizadores de linha de comando mais simples para desabilitar essas mitigações de especulação de CPU ou aumentar a proteção, em vez de ter que se lembrar de todas essas múltiplas opções. A proposta inicial do Poimboeuf veio para uma opção de kernel cpu_spec_mitigations = com valores de off / auto / nosmt .
Houve alguma resistência ao "cpu_spec_mitigations =" nome em si, já que é um pouco longo, mas nada conclusivo foi decidido por uma string mais curta e melhor para lembrar além de talvez apenas "spec_mitigations =". Os patches propostos cobrem apenas não x86_64, mas também vulnerabilidades de especificação de CPU que afetam o ARM, s390, etc.
O trabalho por enquanto ainda está sendo discutido em uma lista de discussão do kernel e vamos ver o que vem desse trabalho, fique ligado.
Fonte
Até a próxima !!
Marcadores: Linux, Android, Segurança
#dev linux,
#Linux,
#Notícia
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário