Грег Кроа-Хартман раскритиковал поведение Intel при исправлении уязвимостей Meltdown и Spectre
31 августа 2018 года
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, в своём выступлении на конференции Open Source Summit North America раскритиковал действия компании Intel по координации устранения уязвимостей Meltdown и Spectre до публичного раскрытия информации о данных проблемах.
Intel был информирован о проблемах Meltdown и Spectre ещё в июле 2017 года, но до 25 октября ведущие разработчики ядра Linux знали о проблемах лишь на уровне слухов. Возможно, разработчики не получили бы информацию и в дальнейшем, но один из влиятельных поставщиков операционных систем настоял в Intel на раскрытии информации и для разработчиков ядра.
Обычно устранение опасных уязвимостей в ядре производится сообща с привлечением команды Linux kernel security team и при участии мэйнтейнеров ядра из дистрибутивов. Но в случае с Meltdown и Spectre всё было перевёрнуто с ног на голову и Intel в индивидуальном порядке информировал только SUSE, Red Hat и Canonical на условиях соглашения о неразглашении. Информированным производителям дистрибутивов были поставлены условия, запрещающие взаимодействие между собой, и каждому дистрибутиву пришлось создавать собственные исправления.
В конце концов компанию Intel удалось убедить в необходимости выработки общего для всех решения и Intel согласился провести совместную встречу, но разрешил сделать это только за считанные дни до планируемого раскрытия сведений. Таким образом, пик работы над исправлением пришёлся на последнюю неделю 2017 года, что обеспечило вовлечённым в процесс исправления разработчикам незабываемое авральное Рождество и Новый год.
Многие производители и проекты не были информированы о проблемах, в том числе информация не была предоставлена компании Oracle и проекту Debian. Так как Debian является одним из самых популярных дистрибутивов Linux, в момент публичного раскрытия данных об уязвимостях большая часть пользователей Linux оказалась совершенно не защищена.
В последующем, компания Intel учла замечания по процессу раскрытия сведений и координируя исправление августовской уязвимости Foreshadow заранее предупредила о проблеме разработчиков ядра Linux и дала возможность коллегиально подготовить исправление. Более того, работа над уязвимостями в CPU позволила наладить сотрудничество с разработчиками ядра Windows и организовать обмен информацией о возникающих проблемах и развиваемых методах исправления уязвимостей, не привязанных к конкретной операционной системе.
По словам Грега Кроа-Хартмана в настоящее время в свежих выпусках ядра Linux присутствует защита от всех известных уязвимостей класса Meltdown и Spectre. При этом, пока не все исправления перенесены в старую, но ещё поддерживаемую, ветку 4.4. Несмотря на наличие защиты на уровне ядра, пользователям рекомендовано установить и обновление микрокода Intel, в котором представлены новые возможности, позволяющие задействовать дополнительные уровни защиты, которые могут оказаться полезными для блокирования ещё неизвестных уязвимостей класса Spectre.
По мнению Грега новые варианты Spectre будут всплывать ещё многие годы и для их блокирования предстоит большая работа по созданию систем для автоматического выявления типовых шаблонов в коде, которые могут вызывать проявление подобных уязвимостей. Данные механизмы выявления ошибок также могут быть включены в состав компиляторов для обнаружения и исключения опасных сочетаний инструкций на этапе сборки.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.