FERRAMENTAS LINUX: Os switches do Spectre/Meltdown foram melhorados e podem finalmente chegar ao Kernel Linux

sábado, 6 de abril de 2019

Os switches do Spectre/Meltdown foram melhorados e podem finalmente chegar ao Kernel Linux


Confira !!#notíicia, #linux,#



No momento em que o próximo kernel do Linux for lançado, haverá aproximadamente um ano e meio desde que as vulnerabilidades de execução especulativa do CPU Specter e Meltdown tornaram-se públicas e as mitigações começaram a aparecer dentro do kernel. Finalmente, agora ele está sendo discutido novamente pelos desenvolvedores upstream, melhorando os switches / botões ajustáveis ​​para configurar facilmente essas atenuações que degradam o desempenho.

Desde o início, é possível desativar a maioria dessas atenuações em tempo de execução (como a __user sanitization de ponteiro para o Specter V1), mas os parâmetros da linha de comando do kernel a serem usados ​​não têm sido os mais diretos ou fáceis de lembrar ... Não houve uma mudança global para matar as mitigações do Specter / Meltdow nem uma opção fácil de adicionar. Nesta fase, para desabilitar as mitigações na maioria das versões corrigidas do kernel Linux, é necessário lembrar e adicionar " pti = off spectre_v2 = off l1tf = off nospec_store_bypass_disable ". Da mesma forma, se quiser aumentar ainda mais a segurança do sistema com as "atenuações máximas", há " l1tf = full spec_store_bypass_disable = em spectre_v2_user = on " para proteger melhor o sistema contra essas vulnerabilidades, mas também para atingir o desempenho ainda mais severamente devido a HT / SMT sendo desativado entre outras medidas.

O desenvolvedor da Red Hat, Josh Poimboeuf, reacendeu a discussão sobre oferecer alguns sintetizadores de linha de comando mais simples para desabilitar essas mitigações de especulação de CPU ou aumentar a proteção, em vez de ter que se lembrar de todas essas múltiplas opções. A proposta inicial do Poimboeuf veio para uma opção de kernel cpu_spec_mitigations = com valores de off / auto / nosmt .

Houve alguma resistência ao "cpu_spec_mitigations =" ​​nome em si, já que é um pouco longo, mas nada conclusivo foi decidido por uma string mais curta e melhor para lembrar além de talvez apenas "spec_mitigations =". Os patches propostos cobrem apenas não x86_64, mas também vulnerabilidades de especificação de CPU que afetam o ARM, s390, etc.

O trabalho por enquanto ainda está sendo discutido em uma lista de discussão do kernel e vamos ver o que vem desse trabalho, fique ligado.


 Fonte

Até a próxima !!
Cezar Henrique at
Marcadores: Linux, Android, Segurança , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)