• IT-Karriere:
  • Services:

Betriebssysteme: Linux 4.16 schließt weitere Spectre- und Meltdown-Lücken

Spectre und Meltdown dominieren weiterhin die Arbeit der Kernel-Hacker. Mit der Freigabe der ersten Testversion des kommenden Linux-Kernels 4.16 gibt es zusätzliche Patches gegen die Schwachstellen, die auch in Kernel-Versionen 4.15.2 und 4.14.18 eingeflossen sind.

Artikel von veröffentlicht am
Linux 4.16 wappnet sich weiter gegen Spectre und Meltdown.
Linux 4.16 wappnet sich weiter gegen Spectre und Meltdown. (Bild: Jerzy Strzelecki/CC-BY 3.0)

Die Absicherung gegen die jüngst bekanntgewordenen Sicherheitslücken Spectre und Meltdown schreitet voran, ist aber noch nicht ganz abgeschlossen. Einerseits muss noch weiterer Code im Kernel überprüft werden, andererseits warten auch die Kernel-Entwickler auf Microcode-Updates von Intel. Es gibt aber auch Neuerungen in Linux 4.16rc1, die nichts mit den Schwachstellen zu tun haben.

Inhalt:
  1. Betriebssysteme: Linux 4.16 schließt weitere Spectre- und Meltdown-Lücken
  2. Jenseits von Spectre und Meltdown
  3. Gasttreiber für Virtualbox

Zu den Änderungen, die bereits in die Kernel-Versionen 4.15.2 und 4.14.18 zurückportiert wurden, gehören vor allem die bislang fehlenden Patches für Spectre v1. Dazu haben die Entwickler zunächst Code im Linux-Kernel durchsucht und geändert, um die spekulative Ausführung zu unterbinden. Sie bedienten sich eines eigens dafür entwickelten Makros array_lindex_nospec(). Es gibt aber wohl noch einige Stellen im Linux-Code, die bearbeitet werden müssen.

Um den Linux-Kernel gegen Spectre v2 zu schützen, fahren die Hacker zweigleisig. Einerseits verwenden sie die selbst entwickelte Lösung Retpoline, die vor allem auf älteren CPUs weniger Ressourcen verlangt als die von Intel in seinen Microcode-Updates integrierten Prozessor-Flags IBRS (Indirect Branch Restricted Speculation), STIBP (Single Thread Indirect Branch Predictors) und IBPB (Indirect Branch Prediction Barrier), die von Linux-Hauptentwickler kritisiert wurden. Damit Retpoline aber auch richtig funktioniert, muss der zuständige Compiler die entsprechenden Optionen mitbringen. GCC in Version 7.3 vom 24. Januar 2018 unterstützt inzwischen die Schalter -mindirect-branch, -mindirect-branch-loop, -mfunction-return und -mindirect-branch-register, um die spekulative Ausführung zu deaktivieren.

Intels Microcode gebraucht

Retpoline funktioniert aber nicht in allen Fällen. Besonders beim Wechsel zwischen virtuellen Maschinen müssen stattdessen die von Intel bereitgestellten Flags verwendet werden, etwa IBPB, die nicht nur von Linux 4.16rc1, sondern auch von 4.15.2 und 4.14.18 genutzt werden, sofern Intel einen funktionierenden Microcode bereitstellt. Seit dem 8. Februar 2018 gibt es Microcode-Updates für Skylake-Prozessoren, nachdem Intel zuvor fehlerhafte Aktualisierungen wieder zurückgezogen hatte. Für CPUs der Haswell- und Broadwell-Reihe sind Updates laut Intel in Arbeit.

Stellenmarkt
  1. über duerenhoff GmbH, Salzburg (Österreich)
  2. Dataport, verschiedene Standorte

Gegen Meltdown gibt es bereits seit Anfang des Jahres die Patches namens Page Table Isolation (PTI), die zwischenzeitlich aber noch verfeinert worden sind und inzwischen auch für x86-Systeme in der 32-Bit-Version umgesetzt wurden. Bis alle Distributionen diese Patches einpflegen und zur Verfügung stellen, wird aber noch einige Zeit vergehen. Nach wie vor kann mit den Befehlen cat /sys/devices/system/cpu/vulnerabilities/spectre_v1, cat /sys/devices/system/cpu/vulnerabilities/spectre_v2 und cat /sys/devices/system/cpu/vulnerabilities/meltdown geprüft werden, ob ein System sicher ist oder nicht. Nebenbei haben die Entwickler Process Context Identifiers (PCID) für Gastsysteme in Microsofts Virtualisierungslösung Hyper-V umgesetzt und damit die Leistungseinbußen durch die Meltdown-Patches zumindest teilweise aufgefangen.

Für IBMs Systeme Z s390 gibt es mit Expolines ebenfalls Patches gegen Spectre v2 und die Funktion array_index_mask_nospec, die gegen Spectre v1 schützen soll. Und auch für ARMs 64-Bit-Systeme gibt es inzwischen Patches für alle drei Schwachstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Jenseits von Spectre und Meltdown 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 24,99€ (PS4 und Xbox One)
  2. (u. a. Need for Speed: Heat Deluxe Edition für 31,99€, FIFA 20 für 20,99€, Madden NFL 20...

PineapplePizza 13. Feb 2018

So wird ein Kommando draus: $ head /sys/devices/system/cpu/vulnerabilities/* ==> /sys...


Folgen Sie uns
       


Elektrifizierte Tiefgarage von Netze BW angesehen

Wir haben uns ein Testprojekt für eine elektrifizierte Tiefgarage im baden-württembergischen Tamm zeigen lassen.

Elektrifizierte Tiefgarage von Netze BW angesehen Video aufrufen
Core i9-10900K & Core i5-10600K im Test: Die Letzten ihrer Art
Core i9-10900K & Core i5-10600K im Test
Die Letzten ihrer Art

Noch einmal 14 nm und Skylake-Architektur: Intel holt alles aus der CPU-Technik heraus, was 250 Watt rein für die CPU bedeutet.
Ein Test von Marc Sauter

  1. Comet Lake Intels vPro-Chips takten höher
  2. Comet Lake S Intel tritt mit 250-Watt-Boost und zehn Kernen an
  3. Core i7-10875H im Test Comet Lake glüht nur auf einem Kern

Change-Management: Wie man Mitarbeiter mitnimmt
Change-Management
Wie man Mitarbeiter mitnimmt

Wenn eine Firma neue Software einführt oder Prozesse digitalisiert, stößt sie intern oft auf Skepsis. Häufig heißt es dann, man müsse "die Mitarbeiter mitnehmen" - aber wie?
Von Markus Kammermeier

  1. Digitalisierung in Deutschland Wer stand hier "auf der Leitung"?
  2. Workflows Wenn Digitalisierung aus 2 Papierseiten 20 macht
  3. Digitalisierung Aber das Faxgerät muss bleiben!

Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display

    •  /