Geloof het of niet, de oplossingen voor de Spectre-klasse van de CPU-kwetsbaarheden zijn nu een aantal van de grootste vijanden van de systeembeheerders.
Ondanks het feit dat die gericht zijn op beveiliging-patches, deze oplossingen zijn bekend te introduceren enorme prestaties hits op Linux-systemen.
Een recente benchmark bleek dat slechts één van de vele Spectre oplossingen –namelijk de naam van Één Draad Indirecte Tak Voorspellers (STIBP)– geïntroduceerd 30 procent prestaties dip voor PHP servers, waardoor systeembeheerders te heroverwegen toepassing van sommige van deze patches.
Ondanks het feit dat meer dan een jaar oud, de Meltdown of Spectre kwetsbaarheden bleef een theoretische dreiging, en geen malware spanning of dreiging acteur heeft ooit gebruikt in een real-world aanval.
In de loop van het laatste jaar, systeem-en netwerkbeheerders hebben genoemd op het Linux-project voor opties voor het uitschakelen van deze beveiliging.
Veel stelde dat de dreiging van het theoretische en kan gemakkelijk worden verminderd met de juiste omtrek verdediging, in sommige scenario ‘ s. Zelfs Linus Torvalds heeft opgeroepen tot een vertraging in de implementatie van een aantal prestatie-raken Spectre oplossingen.
De Linux kernel team heeft reageerden positief ten aanzien van deze aanvragen en is langzaam controls toe te voegen aan het uitschakelen van een deel van de meer problematische oplossingen.
Bijvoorbeeld omdat Linux Kernel 4.15, kunnen beheerders het inloggen als de kernel is gebouwd in oplossingen voor de Spectre v2 kwetsbaarheid (CVE-2017-5715) met de “nospectre_v2” kernel command line parameter.
Sinds Linux Kernel 4.17, kunnen beheerders het inloggen als alle oplossingen voor Spectre v4 (CVE-2018-3639) met de “nospec_store_bypass_disable” command line parameter.
Ook een manier om te schakelen van oplossingen voor Spectre v1 (CVE-2017-5753) is toegevoegd in de Linux Kernel 4.19, met de toevoeging van de “nospectre_v1” parameter.
Deze drie parameters zijn toegevoegd, ondanks de kernel met de “spectre_v2” en “spec_store_bypass_disable” opties voor maanden, parameters waarmee systeembeheerders de controle van de complexiteit van het niveau van de Spectre-class oplossingen, opties, die ook een “off” – stand.
Systeembeheerders wilde een manier om ervoor te zorgen dat Spectre oplossingen zou niet schoppen, vandaar dat de drie nieuwe parameters in recente kernel versies.
De laatste poging om oplossingen uitgeschakeld –en verblijf-is de toevoeging van de PR_SPEC_DISABLE_NOEXEC control bit van de Linux kernel.
Deze bit wordt voorkomen dat de onderliggende processen starten in een staat waar de bescherming voor Spectre v4 zijn nog steeds geactiveerd, ondanks dat het is uitgeschakeld in de bovenliggende proces.
Experts beweren dat een aantal processen gewoon niet nodig hebben Spectre bescherming en de invloed op de prestaties, is veel belangrijker dan de veiligheid, vooral in gesloten systemen waar kwaadaardige code kan niet worden ingevoerd, zoals de grafische rendering boerderijen, off-the-grid supercomputers, en andere strikt beperkt systemen waar geen derden-code is ooit uitgevoerd.
Naarmate de tijd passeert, meer van deze controles zal worden toegevoegd aan de Linux kernel, zoals de Linux-ecosysteem trekt een fijne lijn tussen bescherming en prestaties, waardoor de server eigenaren om te kiezen de kant zij zou willen worden.
Maar als je een van degenen die de voorkeur geeft aan de veiligheid, de AMERIKAANSE National Security Agency heeft onlangs ook de alles-in-één begeleiding pagina voor alle recente Spectre-als CPU-kwetsbaarheden. Het is een goede plek om even uw kennis over deze fouten en neem de eerste stappen om te beperkt.
Verwante zekerheid:
Vervelende security bug gevonden en opgelost in Linux apt
Siri Snelkoppelingen kunnen worden misbruikt voor afpersing eisen, malware propagationNew lek effecten 5G, 4G en 3G-telefonie protocolsMicrosoft Exchange kwetsbaar voor ‘PrivExchange’ zero-daySevere kwetsbaarheid in Apple FaceTime gevonden door Fortnite speler
Hacker onthult Magyar Telekom kwetsbaarheden, gezichten gevangenisstraf
Spectre en Kernsmelting uitgelegd: Een uitgebreide handleiding voor professionals TechRepublicChrome heeft een nieuwe manier om te stoppen met Spectre hackers CNET
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters