Linux 6.17 превратил хаос спекулятивных уязвимостей в управляемую систему: всё по группам, всё под контролем
NewsMakerТеперь можно просто написать mitigations=no_guest_host и спать спокойно.
В ядре Linux 6.17 появилась новая система управления уязвимостями процессоров — Attack Vector Controls, разработанная инженером AMD Дэвидом Капланом. Обновление направлено на упрощение выбора и настройки защит от уязвимостей CPU для системных администраторов и опытных пользователей Linux.
Ранее администраторы были вынуждены включать или отключать каждую защиту вручную, разбираясь в десятках патчей, связанных со спекулятивным выполнением кода. Новая схема позволяет управлять ими централизованно, распределяя уязвимости по категориям, соответствующим типу атакующего и цели атаки.
Система делит векторы атак на пять групп:
Кроме того, в Linux 6.17 были переработаны и упрощены некоторые существующие механизмы защиты. В частности, защита от Speculative Return Stack Overflow (SRSO) стала менее запутанной, а защита Retbleed теперь отделена от ITS stuffing — особого механизма для Intel-процессоров. Это позволило включать ITS отдельно от Retbleed, что даёт большую гибкость.
Слияние патчей в ветку x86/bugs состоялось на прошлой неделе. Ознакомиться с официальной документацией по Attack Vector Controls можно в репозитории ядра Linux .
Новая система должна упростить администрирование систем, повысить защищённость там, где это критично, и вернуть производительность в ситуациях, когда определённые классы атак неактуальны.
В ядре Linux 6.17 появилась новая система управления уязвимостями процессоров — Attack Vector Controls, разработанная инженером AMD Дэвидом Капланом. Обновление направлено на упрощение выбора и настройки защит от уязвимостей CPU для системных администраторов и опытных пользователей Linux.
Ранее администраторы были вынуждены включать или отключать каждую защиту вручную, разбираясь в десятках патчей, связанных со спекулятивным выполнением кода. Новая схема позволяет управлять ими централизованно, распределяя уязвимости по категориям, соответствующим типу атакующего и цели атаки.
Система делит векторы атак на пять групп:
- user-to-kernel — атаки из пользовательского пространства в ядро;
- user-to-user — между пользовательскими процессами;
- guest-to-host — из гостевой системы в хост;
- guest-to-guest — между виртуальными машинами;
- cross-thread — между потоками.
Кроме того, в Linux 6.17 были переработаны и упрощены некоторые существующие механизмы защиты. В частности, защита от Speculative Return Stack Overflow (SRSO) стала менее запутанной, а защита Retbleed теперь отделена от ITS stuffing — особого механизма для Intel-процессоров. Это позволило включать ITS отдельно от Retbleed, что даёт большую гибкость.
Слияние патчей в ветку x86/bugs состоялось на прошлой неделе. Ознакомиться с официальной документацией по Attack Vector Controls можно в репозитории ядра Linux .
Новая система должна упростить администрирование систем, повысить защищённость там, где это критично, и вернуть производительность в ситуациях, когда определённые классы атак неактуальны.