Confira !!
Trabalhada nos últimos meses por um engenheiro da Amazon, o cache de dados L1 opcional foi liberado nas alternâncias de contexto para permitir maior segurança do computador em uma era de vulnerabilidades de amostragem de dados e outros problemas de vazamento de dados por meio de canais laterais. Foi enviado para o Kernel Linux 5.8, mas Linus Torvalds o caracterizou como "além de estúpido" e não sendo convencido por ele . Bem, agora ele foi revisado, mas ainda não está claro se vai agradar ao Torvalds pela inclusão da linha principal.
O conceito geral desse novo trabalho de descarga de L1d permanece o mesmo é que ele é totalmente opcional e os programas interessados podem utilizá-lo através da interface prctl. O foco continua em fornecer um nível adicional de segurança para CPUs afetadas por L1TF e outras vulnerabilidades de espionagem de dados.
Esta nova versão dos patches de liberação do L1d tentou resolver os comentários / preocupações levantadas por Torvalds e outros desenvolvedores de kernel upstream.
Para administradores de servidor / sistema que desejam garantir que ele não seja usado, existe o parâmetro de linha de comando l1d_flush_out = off kernel agora suportado para desativar completamente a funcionalidade. Essa é a única opção l1d_flush_out sem outras substituições.
Outra mudança agora é que essa descarga do L1d é usada apenas para processadores que são afetados pelo bug L1 Terminal Fault (L1TF), em vez de qualquer CPU. Isso esclarece a questão de que a descarga tem a possibilidade de afetar as CPUs não afetadas.
Por fim, o modo de fallback de software foi descartado, onde pode não ser prático para a descarga de L1d, pois esses patches agora estão limitados ao uso do suporte à liberação de hardware.
Os novos patches de liberação do L1d podem ser encontrados através deste thread da lista de discussão do kernel . Veremos se isso agora trata das preocupações o suficiente para que este trabalho seja realizado, embora esteja chegando muito perto da janela de mesclagem do Kernel Linux 5.9 e que, em qualquer caso, pode ser adiado para dizer 5.10.
Também será interessante ver o impacto no desempenho desse recurso adicional, bem como quais aplicativos decidem se inscrever e utilizar a funcionalidade PR_SET_L1D_FLUSH / L1D_FLUSH_OUT_ON.
Até a próxima !
Nenhum comentário:
Postar um comentário