Linux verbessert den Schutz gegen CPU-Schwachstellen

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33438
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Linux verbessert den Schutz gegen CPU-Schwachstellen

Beitrag von doelf » 09 Feb 2018, 12:43

Mit den Kernel-Versionen 4.16 RC 1, 4.15.2 und 4.14.18 kümmert sich Linux erstmals um die erste Variante des Spectre-Angriffs (CVE-2017-5753) auf CPU-Sicherheitslücken. Überarbeitet wurden auch der Schutz vor der zweiten Spectre-Variante (CVE-2017-5715) und Meltdown. Es gibt aber nach wie vor noch viel zu tun.

Spectre-Angriff, Variante 1 (CVE-2017-5753)
Für den "Bounds Check Bypass" gab es in Linux bisher keine Gegenmaßnahme. Nun wurden in einem ersten Schritt potentiell gefährdete Passagen des Kernel-Codes überarbeitet, um eine spekulative Ausführung und damit den Einstiegspunkt für die erste Variante des Spectre-Angriffs zu unterbinden. Die Suche nach möglichen Angriffsstellen ist aber noch lange nicht abgeschlossen und auch in Zukunft wird von Code, bei dem die Sicherheitsvorkehrungen fehlen, eine Gefahr ausgehen.

Spectre-Angriff, Variante 2 (CVE-2017-5715)
Um die "Branch Target Injection" (CVE-2017-5715) hatten sich die Kernel-Entwickler bereits gekümmert, einerseits durch Googles Retpoline-Lösung und andererseits mit Hilfe der von den CPU-Herstellern bereitgestellten Microcode-Updates. Doch während AMDs Microcode-Updates noch auf sich warten lassen, musste Intel seinen ersten Versuch am 22. Januar 2018 zurückziehen, so dass aktuell nur Retpoline übrig ist - allerdings auch nur für Code, der bereits neu compiliert wurde. In einigen Situationen, beispielsweise bei der Virtualisierung, scheint Retpoline jedoch nicht auszureichen, weshalb letztendlich doch Microcode-Updates benötigt werden. Und damit diese, sobald sie denn endlich verfügbar sind, wie gewünscht funktionieren, haben die neuen Kernel-Versionen den Umgang mit den CPU-Flags "Indirect Branch Prediction Barrier" (IBPB), "Indirect Branch Restricted Speculation" (IBRS) und "Single Thread Indirect Branch Predictors" (STIBP) erlernt. Abgeschlossen sind die Arbeiten aber auch hier noch nicht.

Meltdown-Angriff (CVE-2017-5754)
Während Spectre fast alle modernen CPU-Architekturen betrifft, ist der als "Meltdown" bekannte "Rogue Data Cache Load" auf Prozessoren von Intel sowie einige Baureihen von ARM beschränkt. Vor Meltdown schützt seit Anfang Januar eine Technologie namens "Kernel Page-Table Isolation" (KPTI, zuvor unter dem Codenamen KAISER bekannt), welche Kernel- und Anwendungsspeicher besser voneinander abschottet. Neue Optimierungen sollen Geschwindigkeitsdefizite verringern und die Aktivierung von KPTI auf nicht betroffenen Prozessoren verhindern. Bisher gibt es KPTI leider nur als 64-Bit-Variante und es gibt auch noch keinen Termin für die Verfügbarkeit einer 32-Bit-Umsetzung.

Quelle:
https://www.kernel.org/
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten