FERRAMENTAS LINUX: Os Patches de liberação L1d foram revividos após serem rejeitados do Linux 5.8 como "além de estúpidos

quarta-feira, 29 de julho de 2020

Os Patches de liberação L1d foram revividos após serem rejeitados do Linux 5.8 como "além de estúpidos








Confira !!



Trabalhada nos últimos meses por um engenheiro da Amazon, o cache de dados L1 opcional foi liberado nas alternâncias de contexto para permitir maior segurança do computador em uma era de vulnerabilidades de amostragem de dados e outros problemas de vazamento de dados por meio de canais laterais. Foi enviado para o Kernel Linux 5.8, mas Linus Torvalds o caracterizou como "além de estúpido" e não sendo convencido por ele . Bem, agora ele foi revisado, mas ainda não está claro se vai agradar ao Torvalds pela inclusão da linha principal.

O conceito geral desse novo trabalho de descarga de L1d permanece o mesmo é que ele é totalmente opcional e os programas interessados ​​podem utilizá-lo através da interface prctl. O foco continua em fornecer um nível adicional de segurança para CPUs afetadas por L1TF e outras vulnerabilidades de espionagem de dados.

Esta nova versão dos patches de liberação do L1d tentou resolver os comentários / preocupações levantadas por Torvalds e outros desenvolvedores de kernel upstream.

Para administradores de servidor / sistema que desejam garantir que ele não seja usado, existe o parâmetro de linha de comando l1d_flush_out = off kernel agora suportado para desativar completamente a funcionalidade. Essa é a única opção l1d_flush_out sem outras substituições.

Outra mudança agora é que essa descarga do L1d é usada apenas para processadores que são afetados pelo bug L1 Terminal Fault (L1TF), em vez de qualquer CPU. Isso esclarece a questão de que a descarga tem a possibilidade de afetar as CPUs não afetadas.

Por fim, o modo de fallback de software foi descartado, onde pode não ser prático para a descarga de L1d, pois esses patches agora estão limitados ao uso do suporte à liberação de hardware.

Os novos patches de liberação do L1d podem ser encontrados através deste thread da lista de discussão do kernel . Veremos se isso agora trata das preocupações o suficiente para que este trabalho seja realizado, embora esteja chegando muito perto da janela de mesclagem do Kernel Linux 5.9 e que, em qualquer caso, pode ser adiado para dizer 5.10.

Também será interessante ver o impacto no desempenho desse recurso adicional, bem como quais aplicativos decidem se inscrever e utilizar a funcionalidade PR_SET_L1D_FLUSH / L1D_FLUSH_OUT_ON.



Até a próxima !
Cezar Henrique at
Marcadores: Linux, Android, Segurança , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)