Kernel: Linux 5.10 sichert ARM und Android besser ab

Das aktuelle Linux 5.10 behebt außerdem weitere Fehler für das Jahr-2038-Problem, bootet RISC-V auf EFI-Systemen und bietet Langzeitpflege.

Artikel veröffentlicht am , /Kristian Kißling/Linux Magazin
Linux 5.10 ist erschienen.
Linux 5.10 ist erschienen. (Bild: Pixabay)

Linus Torvalds hat die Version 5.10 des freien Linux-Kernel veröffentlicht. Damit ist die Entwicklung von Linux 5.10 offiziell fertiggestellt und das Merge-Window ist für Kernel-Version 5.11 offen. Letzteres wird allerdings wegen der anstehenden Weihnachtsfeiertage wohl kürzer als üblich, wie der Chefentwickler in der Ankündigung schreibt. Er gab zugleich bekannt, hier strenger als sonst üblich Neuerungen abzulehnen.

Inhalt:
  1. Kernel: Linux 5.10 sichert ARM und Android besser ab
  2. BPF-Programme schlafen legen

Der aktuelle Linux-Kernel 5.10 unterstützt die ARM Memory Tagging Extensions (MTE). Dabei handelt es sich um eine Befehlssatzerweiterung von ARMv8.5. Ziel der MTE ist es, das Ausnutzen der vielen verschiedenen und vor allem häufigen Speicherfehler in C- und C++-Code deutlich zu erschweren oder ganz und gar zu verhindern, indem derartige Fehler eben mit Hilfe der CPU erkannt werden.

Die Betreuer hoffen, damit unter anderem Use-After-Free-Lücken (UAF) im laufenden Betrieb für Userspace-Anwendungen erkennen zu können. Als eines der ersten großen Open-Source-Projekte wird wohl künftig Android auf die Nutzung der MTE setzen. Das hat das Sicherheitsteam von Google bereits im vergangenen Jahr angekündigt.

Im Zuge der Beschreibung einer gravierenden iPhone-Lücke weist der Sicherheitsforscher Ian Beer für Googles Project Zero allerdings darauf hin, dass dieser Schutz nur für kommende CPUs mit den MTE genutzt werden könne. Darüber hinaus gebe es wohl auch weiter zahlreiche Lücken für erfolgreiche Angriffe.

Stellenmarkt
  1. Data Scientist for Pricing (m/w/d)
    Lidl Digital, Neckarsulm, Berlin
  2. Sachbearbeiterin / Sachbearbeiter (w/m/d) "Pru?ferin / Pru?fer" in der Innenrevision - Bereich ... (m/w/d)
    Bundesanstalt für Immobilienaufgaben, Bonn
Detailsuche

Mit Linux 5.10 unterstützt der Kernel außerdem erstmals den Start von RISC-V-Systemen mit EFI. Inwiefern sich die EFI-Nutzung im RISC-V-Ökosystem durchsetzt, müssen die kommenden Jahre zeigen. AMDs Verschlüsselung für die Virtualisierung (SEV) unterstützt nun auch die Verschlüsselung Prozessor-Register von Gast-Systemen.

Zeitstempel gut genug bis 2468

Die grundlegenden Lösungen für das Jahr-2038-Problem hat das Kernel-Entwicklerteam bereits mit Linux 5.6 gelöst. Neu hinzugekommen sind aber einige weitere Patches für Zeitstempel in Dateisystem XFS. Diese sind nun bis ins Jahr 2468 fehlerlos nutzbar.

Das OverlayFS-Dateisystem, das etwa für Container-Abbilder besonders beliebt ist, unterstützt es nun, den Systemaufruf fsync() komplett zu ignorieren. Das wird zwar als gefährlich beschrieben, da das Dateisystem im Zweifel beschädigt wird und beim Bauen von Container-Images keine Zwischenstände auf dem Festspeicher landen. Letzeres sei aber erst für die oberste Schicht notwendig und könne deshalb ignoriert werden. Das Bauen der Abbilder wird dadurch schneller.

Dank der neuen Fast-Commit-Funktion von Ext4 soll sich die Latenz für Dateisystem-Operationen deutlich verringern. Das wiederum soll zu massiven Geschwindigkeitsverbesserungen führen. Benchmarks in den Patches zufolge liegen die Verbesserungen zwichen 50 und gar 200 Prozent.

Mit der Mount-Option nosymfollow soll außerdem verhindert werden können, dass bei der Pfadauflösung symbolischen Links in eingehängten Dateisystemen gefolgt wird. Die Verknüpfungen selbst können aber weiter erstellt und durch Userspace-Programme genutzt werden. Die BSD-Systeme bieten ähnliches schon länger. Google hat dies nun für ChromeOS in Linux umgesetzt.

Mit Innovationen wartet auch der NFS-Daemon Nfsd auf. Entwicklerin Anna Schumaker hat ihn um die Möglichkeit erweitert, eine Antwort des Typs READ PLUS zu liefern. Das erlaubt es dem Server, auf Anfrage hin ein Array an Daten sowie sogenannte Hole Extents zurückzugeben. Auch Btrfs lässt sich nun dank neuer Sysfs-Exporte, die einen exklusiven Operationsstatus für das Dateisystem liefern, umfassender überwachen. Daneben gibt es Performance-Verbesserungen an Fsync.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
BPF-Programme schlafen legen 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Alder Lake
Intel will mit 241 Watt an die Spitze

Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
Ein Bericht von Marc Sauter

Alder Lake: Intel will mit 241 Watt an die Spitze
Artikel
  1. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

  2. Rakuten: Wir bauen 4. deutsches Netz mit x86-Standard-Hardware
    Rakuten
    "Wir bauen 4. deutsches Netz mit x86-Standard-Hardware"

    Billige Hardware soll 1&1 United Internet Kosten sparen. Doch in Japan explodieren bei Rakuten die Ausgaben.

  3. Pixel 6 und Android 12: Googles halbgare Android-Update-Schummelei
    Pixel 6 und Android 12
    Googles halbgare Android-Update-Schummelei

    Seit Jahren arbeitet Google daran, endlich so lange Updates zu liefern wie die Konkurrenz. Mit dem Pixel 6 und Android 12 enttäuscht der Konzern aber.
    Ein IMHO von Sebastian Grüner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /