Intel LASS: как потратить 2 года на то, что так и не защищает Linux
NewsMakerIntel представила шестую версию патчей для поддержки в Linux.
Intel продолжает работу над механизмом защиты Linear Address Space Separation, или LASS, для ядра Linux. Первый набор патчей появился ещё в январе 2023 года, и с тех пор прошло больше двух лет. Сегодня разработчики опубликовали уже шестую версию обновлений, но окончательная интеграция в основную ветку ядра всё ещё остаётся на стадии доработки.
Технология LASS направлена на усиление защиты операционной системы от атак через побочные каналы . Поддержка LASS впервые появилась в серверных процессорах Sierra Forest, а затем была реализована и в линейке Xeon 6. Хотя сами процессоры уже доступны на рынке, соответствующая поддержка в Linux пока не завершена.
Инженер Intel Кирилл Шутемов, отвечающий за разработку патчей, поясняет, что цель LASS — не допустить нежелательного доступа к виртуальному адресу между пользовательским и привилегированным режимами. Подобные механизмы уже реализованы в виде SMEP и SMAP , однако их работа требует обхода структур страниц памяти. Это может создавать уязвимости: вредоносное ПО способно измерять задержки и по ним восстанавливать структуру адресного пространства ядра.
В отличие от традиционной постраничной защиты, LASS работает до начала обработки таблиц страниц. Это означает, что потенциальный атакующий не сможет использовать данные из кэш-памяти, TLB , механизмов обхода страниц и других источников, чтобы получить информацию о конфигурации памяти. LASS устраняет возможность анализа через двойные ошибки страниц, сброс TLB и предварительную загрузку данных.
начала обработки таблиц страниц. Это означает, что потенциальный атакующий не сможет использовать данные из кэш-памяти, TLB , механизмов обхода страниц и других источников, чтобы получить информацию о конфигурации памяти. LASS устраняет возможность анализа через двойные ошибки страниц, сброс TLB и предварительную загрузку данных.
Свежая версия патчей вносит улучшения в систему отчётов о нарушениях, делает сообщения об ошибках более понятными и включает ряд других корректировок. Пока не ясно, окажется ли эта итерация достаточной для включения в следующую стабильную версию ядра, но все желающие могут изучить обновления на почтовой рассылке разработчиков Linux.
Intel продолжает работу над механизмом защиты Linear Address Space Separation, или LASS, для ядра Linux. Первый набор патчей появился ещё в январе 2023 года, и с тех пор прошло больше двух лет. Сегодня разработчики опубликовали уже шестую версию обновлений, но окончательная интеграция в основную ветку ядра всё ещё остаётся на стадии доработки.
Технология LASS направлена на усиление защиты операционной системы от атак через побочные каналы . Поддержка LASS впервые появилась в серверных процессорах Sierra Forest, а затем была реализована и в линейке Xeon 6. Хотя сами процессоры уже доступны на рынке, соответствующая поддержка в Linux пока не завершена.
Инженер Intel Кирилл Шутемов, отвечающий за разработку патчей, поясняет, что цель LASS — не допустить нежелательного доступа к виртуальному адресу между пользовательским и привилегированным режимами. Подобные механизмы уже реализованы в виде SMEP и SMAP , однако их работа требует обхода структур страниц памяти. Это может создавать уязвимости: вредоносное ПО способно измерять задержки и по ним восстанавливать структуру адресного пространства ядра.
В отличие от традиционной постраничной защиты, LASS работает до начала обработки таблиц страниц. Это означает, что потенциальный атакующий не сможет использовать данные из кэш-памяти, TLB , механизмов обхода страниц и других источников, чтобы получить информацию о конфигурации памяти. LASS устраняет возможность анализа через двойные ошибки страниц, сброс TLB и предварительную загрузку данных.
начала обработки таблиц страниц. Это означает, что потенциальный атакующий не сможет использовать данные из кэш-памяти, TLB , механизмов обхода страниц и других источников, чтобы получить информацию о конфигурации памяти. LASS устраняет возможность анализа через двойные ошибки страниц, сброс TLB и предварительную загрузку данных.
Свежая версия патчей вносит улучшения в систему отчётов о нарушениях, делает сообщения об ошибках более понятными и включает ряд других корректировок. Пока не ясно, окажется ли эта итерация достаточной для включения в следующую стабильную версию ядра, но все желающие могут изучить обновления на почтовой рассылке разработчиков Linux.