O patch ocupado para a Intel continua com o kernel Linux sendo mitigado para o EIBRS Post-barrier Return Stack Buffer (PBRSB). Este PBRSB é o mais recente tratamento na "frente dos pesadelos de vulnerabilidade da CPU", o pull request chama isso.
Atingir o kernel Linux principal alguns minutos atrás foi o pull x86_bugs_pbrsb como parte do Patch Tuesday.
Essa mudança de segurança é resumida como:
Mais sobre os pesadelos da vulnerabilidade da CPU:
as máquinas Intel eIBRS não atenuam suficientemente as previsões errôneas de RET ao fazer uma saída de VM, portanto, é necessário um RSB adicional, o preenchimento de uma entrada.
O kernel Linux por meio de seu relatório de vulnerabilidades agora indicará se um sistema está vulnerável ao EIBRS Post-barrier Return Stack Buffer (PBRSB), se o sistema está sendo executado com proteção de RSB em VMEXITs ou se o sistema não é afetado. A alteração do kernel adiciona um LFENCE à sequência de preenchimento do buffer de pilha de retorno (RSB) e adiciona proteções RSB VMEXIT. O patch do kernel trata todas as CPUs que usam o Intel eIBRS como necessitando de manipulação de PBRSB, exceto Goldmont Plus e Tremont.
O EIBRS é para a especulação restrita de ramificação indireta aprimorada e é usado por CPUs Intel mais recentes como parte de sua mitigação do Spectre V2. O eIBRS permanece em vigor através dos mais recentes processadores "Alder Lake" de 12ª geração,
O patch PBRSB está agora na linha principal do Kernel Linux 6.0 Git, enquanto retornará para a série estável do kernel Linux em breve ... não sendo um item específico do Linux. Estarei executando mais alguns testes localmente e explorando ainda mais o PBRSB.
Até a próxima!!
Nenhum comentário:
Postar um comentário