Uma mudança proposta pela primeira vez no ano passado para os padrões de mitigação Spectre do kernel do Linux parece que em breve será enviada para o kernel principal.
A mudança é em relação ao valor de mitigação padrão para Spectre V2 para tarefas de espaço do usuário e Spectre V4 / Bypass de armazenamento especulativo. Para as opções de kernel de "spec_store_bypass_disable" e "spectre_v2_user", o padrão atual é o modo "seccomp". Com esse comportamento padrão, as mitigações são aplicadas apenas quando optadas por thread por meio da interface PRCTL (ou de outra forma, um processo herda a mitigação quando bifurcada) ou é habilitado por padrão para todas as threads SECCOMP.
Com o SECCOMP do Linux sendo sobre computação segura e usado para isolamento de processos e sandboxing por uma ampla variedade de software, faz sentido ter essas mitigações de Spectre por padrão lá ... Ou pelo menos para os desenvolvedores de upstream. A mudança pendente agora é descartar esse spectre_v2_user / spec_store_bypass_disable por padrão para threads SECCOMP e apenas deixá-lo com o comportamento "prctl" como padrão.
O argumento para alterar o padrão é que o padrão SECCOMP não foi totalmente eficaz com várias outras vulnerabilidades de segurança por aí ou seu comportamento padrão e várias outras deficiências ou outra exposição a ataques por usuários SECCOMP notáveis. Além disso, agora alguns anos após o surgimento de Specter, a maioria dos administradores de sistema Linux já descobriu sua configuração de ajuste desejada para usar em sistemas de produção com os vários ajustáveis de segurança de execução especulativa.
Reduzindo o comportamento default / out-of-the-box para as configurações do Spectre de "seccomp" para "prctl", ajudaria no desempenho out-of-the-box das tarefas SECCOMP, evitando essa sobrecarga.
A mudança foi proposta pela primeira vez em novembro passado.Em última análise, definir SSBD e STIBP por padrão para todas as prisões seccomp é um ponto fraco e um padrão ruim com mais contras do que prós que acabam reduzindo a segurança na nuvem pública (dando um grande incentivo para não expor SPEC_CTRL que seria necessário para ficar cheio segurança com IBPB após definir nosmt no convidado) e prejudicando excessivamente o desempenho para aplicativos mais seguros usando seccomp que acabam tendo que ser desativados com SECCOMP_FILTER_FLAG_SPEC_ALLOW. "
A notícia deste fim de semana é que Kees Cook, do Google, está planejando seguir em frente e pegar esse patch, fazendo a mudança padrão, a menos que haja novas objeções sobre o assunto.
Até a próxima !!
Nenhum comentário:
Postar um comentário