Google Project Zero beschuldigt Linux van slordig patching kernel
Project Zero beschuldigt Linux distributies van het verlaten van de gebruikers blootgesteld aan bekende kernel kwetsbaarheden voor weken.
Greg Kroah-Hartman, de stabiele Linux kernel onderhouder, kan voorafgegaan zijn Open Source Top van Europa keynote speech, MDS, Fallout, Zombieland, en Linux, door met een parafrase van de woorden van Winston Churchill: ik heb niets te bieden, maar bloed, zweet en tranen voor het omgaan met Intel CPU ‘ s security problemen.
Of als een Chinese ontwikkelaar vertelde hem onlangs over deze problemen: “Dit is een trieste praten.” Het verdriet is dat dezelfde Intel CPU speculatieve uitvoering problemen, die leidde tot een Kernsmelting en Spectre veiligheid, gezond en wel en veroorzaakt meer moeite.
Het probleem met hoe de Intel ontworpen speculatieve uitvoering is dat, vooruitlopend op de volgende actie voor de CPU te nemen inderdaad sneller, daarnaast worden de gegevens langs de weg. Dat is al erg genoeg om op uw eigen server, maar als het breekt de barrières tussen virtuele machines (VM ‘ s)in cloud computing omgevingen, het is een zekerheid nachtmerrie.
Kroah-Hartman zei, “Deze problemen zullen met ons op voor een zeer lange tijd, ze zijn niet weg te gaan. Ze zijn allemaal CPU-bugs, in sommige opzichten zijn ze allemaal het zelfde probleem,” maar ieder heeft om opgelost te worden op zijn eigen manier. “MDS, RDDL, Fallout, Zombieland: Ze zijn allemaal varianten van dezelfde fundamentele probleem.”
En ze zijn allemaal kan dodelijk zijn voor uw beveiliging: “RIDL en Zombieload, bijvoorbeeld, het stelen van gegevens tussen toepassingen, virtuele machines, zelfs beveiligde enclave. De laatste is echt grappig, omdat [Intel Software Guard Extensies (SGX)] is wat moet worden beveiligd binnen Intel schepen” [maar, het blijkt het] echt poreus. U kunt zien rechts door dit ding.”
Om elk probleem als het opduikt, moet u de patch zowel de Linux-kernel en de CPU ‘ s BIOS en microcode. Dit is niet een Linux probleem; welke besturingssysteem geconfronteerd met hetzelfde probleem.
OpenBSD, is een BSD Unix gewijd aan de veiligheid in de eerste plaats, Kroah-Hartman vrij toe was de eerste om te komen met wat er op dit moment het beste antwoord voor deze klasse van gaten in de beveiliging: Draai de Intel multithreading (SMT) uit en gaan met de performance hit. Linux heeft deze methode.
Maar het is niet genoeg. U moet beveiligen van het besturingssysteem, zoals elk nieuwe manier te exploiteren hyper-threading wordt weergegeven. Voor Linux, dat betekent dat het spoelen van de CPU buffers elke keer als er een context switch (bv. wanneer de CPU loopt een VM en begint de andere).
U kunt waarschijnlijk wel raden wat het probleem is. Elke buffer flush kost veel tijd, en de meer vm ‘ s, containers, wat dan ook, je draait, hoe meer tijd je verliest.
Hoe erg zijn deze vertragingen? Het hangt af van de taak. Kroah-Hartman zei hij brengt zijn dagen door met het schrijven en beantwoorden van e-mails. Deze activiteit duurt slechts een 2% performance hit. Dat is helemaal niet slecht. Hij is ook altijd bezig Linux kernels. Dat duurt veel meer pijnlijke 20% performance hit. Hoe slecht zal het voor u? De enige manier om te weten te benchmark van uw workload.
Natuurlijk, het is aan u, maar als Kroah-Hartman zei: “Het slechte deel van dit is dat je nu moet kiezen: de Prestaties of veiligheid. En dat is niet een goede optie.” Het is ook verwees hij naar de developer-zware menigte, die de keuze van uw cloud provider heeft voor u gemaakt.
Maar wacht! Het slechte nieuws blijft komen. Moet u bijwerken uw Linux-kernel en patch je microcode als elke Intel-gerelateerde security update komt de snoek. De enige manier om veilig is om de laatste Canonieke, Debian, Red Hat of SUSE distro ‘ s, of de nieuwste lange termijn ondersteuning van de Linux kernel. Kroah-Hartman toegevoegd, “Als je niet met een ondersteunde Linux distributie kernel of een stabiele en lange termijn kernel, heb je een onveilig systeem.”
Dus, op die opmerking, kunt u zich verheugen op het voortdurend bijwerken van uw besturingssysteem en de hardware tot de huidige generatie Intel-processors zijn in antieke winkels. En u zult worden geplakt met een slechte prestaties als u ervoor kiest om de veiligheid voorsprong van de snelheid. Leuk, leuk, leuk!
Verwante Artikelen:
MDS ‘Zombieload’ aanvallen op Intel Cpu ‘ s: Wat is uw patch status?Linux security holes: Veel sudo over nothingLinux om de kernel ‘lockdown’ functie
Verwante Onderwerpen:
Intel
Beveiliging TV
Data Management
CXO
Datacenters