Abo
  • Services:

Compiler, Linux-Kernel und Mikrocode gegen Spectre

Von den beiden Spectre-Varianten sind auch unter Linux nahezu alle verbreiteten CPU-Architekturen betroffen. Neben den x86-Chips von Intel betrifft das natürlich auch ARM-CPUs, ebenso wie laut IBM die Power-Serien 7,8 und 9 und wohl auch die Z-Serie sowie Fujitsu zufolge auch dessen Sparc-Server-CPUs. Oracle hat mit seinen Januar-Updates ebenfalls bestätigt, dass seine Sparc-v9-CPUs von Spectre betroffen sind. Das meldet das britische Magazin The Register unter Berufung auf ein nichtöffentliches Supportdokument.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Für Variante 1 von Spectre (CVE-2017-5753) werden im Linux-Kernel mit Hilfe der Compiler GCC und LLVM "speculative fences" an betroffenen Code-Stellen eingefügt. Die meisten Distro-Kernel sollten inzwischen über entsprechende Mechanismen verfügen.

Darüber hinaus gibt es weitere Patches, die aktiv gegen diese Spectre-Variante vorgehen sollen, über deren Verwendung aber noch nicht abschließend entschieden ist. Details dazu liefert das Magazin LWN.net.

Mikrocode-Updates als hilfreicher Schritt

Um auch gegen die zweite Variante von Spectre (CVE-2017-5715) geschützt zu sein, sollten Linux-Nutzer auf jeden Fall Mikrocode-Updates für ihre jeweilige Plattform einspielen, sofern diese bereits zur Verfügung stehen.

Intel hat den aktualisierten Mikrocode am 8. Januar veröffentlicht und die meisten Distributionen sollten diesen bereits als Paket bereitstellen. Notwendig wird ein Mikrocode-Update außerdem für die neue Zen-Architektur von AMD. Ob dies Ryzen und Epyc gleichermaßen betrifft, ist derzeit nicht bekannt. Um hier Mikrocode-Updates einspielen zu können, sind einige vorbereitenden Kernel-Patches notwendig, die in den aktuellen Upstream-Kernel bereits verfügbar sind.

Zur Verfügung gestellt wird der AMD-Mikrocode für Zen bereits von Suse, die schreiben, dass damit der Branch Predictor abgeschaltete werde. Das kann wegen der zu erwartenden massiven Leistungseinbußen dabei aber so nicht stimmen. Diese Vermutung hat AMD auch dem US-Magazin Phoronix bestätigt und das Unternehmen arbeite demnach gemeinsam mit Suse an einer besseren Formulierung. AMD selbst beschreibt dieses Update als optional, da die Lücke nur sehr schwer auf den Chips auszunutzen sei.

Debian hat diesen Mikrocode bereits für seinen Unstable-Zweig alias Sid übernommen. Es ist davon auszugehen, dass der AMD-Mikrocode so auch in anderen Debian-Versionen sowie in Ubuntu und darauf basierenden Distributionen landen wird. In der Upstream-Quelle Linux-Firmware von Kernel.org fehlt das Mikrocode-Update von AMD aber noch. Mikrocode-Updates von IBM für Power- und Z-Series-Systeme gibt es direkt vom Hersteller. ARM verweist auf Patches für seine Trusted Firmware, die die SoC- oder Geräte-Hersteller einspielen sollten.

Kernel-Patches zusätzlich zum Mikrocode

Zusätzlich dazu gibt es weitere Umbaumaßnahmen im Linux-Kernel, die teilweise direkt auf den Mikrocode-Funktionen aufbauen, die das Verhalten der CPU in bestimmten Situationen verändern. Die Upstream-Community diskutiert hier aber ebenfalls noch die besten Lösungen und Mechanismen zur Umsetzung. Einige Distro-Kernel nutzen die zur Diskussion stehenden Patches aber bereits.

Das betrifft vor allem die Verwendung von Indirect Branch Restricted Speculation (IBRS) für die x86-Architetur. In der Beschreibung dazu heißt es: "Wenn IBRS gesetzt ist, können Beinahe-Rückgaben- und Beinahe-indirekte-Sprünge/Aufrufe ihre vorhergesagte Zieladresse nicht durch Code steuern, der in einem weniger privilegierten Vorhersagemodus ausgeführt wurde, bevor der IBRS-Modus zuletzt mit dem Wert 1 oder auf einem anderen logischen Prozessor geschrieben wurde, solange alle RSB-Einträge aus dem vorherigen weniger privilegierten Vorhersagemodus überschrieben werden."

Darüber hinaus gibt es noch die Patches für sogenannte Return Trampolines (Retpoline), die LWN.net als eine Attack auf den Branch Predictor nach dem Prinzip des Return-Oriented Programming (ROP) beschreibt. Laut den Initiatoren von Google sollen damit Indirect Branches von der spekulativen Ausführung isoliert werden.

Ob und wann IBRS oder Retpoline oder beide gemeinsam verwendet werden sollten, ist derzeit noch nicht klar. Retpolines funktionieren nach derzeitigem Kenntnisstand aber nicht zuverlässig auf Skylake-CPUs. Auf älteren Intel-CPUs verursachen die IBRS-Patches dagegen teils schwere Leistungseinbußen.

Über dieses Durcheinander beschwert sich Kernel-Maintainer Kroah-Hartman sehr deutlich. So heißt es etwa: "Wir hatten keine wirklichen Informationen darüber, was genau das Spectre-Problem war"; die vielen verschiedenen Patches für die unterschiedlichen Lösungsansätze seien teilweise extrem schlecht gewesen. Eine Koordination wie bei Meltdown über die nicht-öffentliche Security-Liste der Kernel-Hacker hat hier wohl nicht stattgefunden, stattdessen haben vor allem die Enterprise-Distributionen schnell eigene Lösungen umgesetzt. Kroah-Hartman erwartet eine in der Community abgestimmte Lösung für die Probleme mit Spectre in den kommenden Wochen.

Für Linux-Nutzer findet sich auf Github ein Skript, das die jeweilige Nutzung der Patches und Updates auf dem laufenden System analysiert. In den kommenden Wochen sollten Nuzter die zur Verfügung gestellten Updates genau beobachten und einspielen. Wer aktuell kein Tool zur Überprüfung auf Bios-Updates installiert hat sollte das nachholen. Auch wer aktuell bereits Patches eingespielt hat, sollte weiter aufmerksam bleiben. In vielen Fällen sind die aktuellen Fehlerbehebungen wohl erst ein Anfang und dürften langfristig durch stabilere Lösungen ersetzt werden.

Nachtrag vom 18. Januar 2018, 12:40 Uhr

Wir haben den Text um Informationen von Oracle erweitert.

Nachtrag vom 23. Januar 2018, 10:41 Uhr

Wir haben Informationen über die zurückgezogenen Microcode-Updates für Broadwell- und Haswell-Prozessoren ergänzt.

Nachtrag vom 24. Januar 2018, 13:56 Uhr

Apples Meltdown-Patches für MacOS Sierra und El Capitan nachgetragen.

 Updates für Langzeit-Linux und ARM64
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8


Anzeige
Spiele-Angebote
  1. 34,99€ (erscheint am 14.02.)
  2. 12,49€
  3. 23,99€

logged_in 14. Feb 2018

i7-930 hier. Hast sicher auch schon oft nach einem guten Upgrade gesucht, und dann aus...

cryptomagic 08. Feb 2018

Der Frage haben wir uns genauer angenommen, und unsere Ergebnisse in einem Artikel...

daydreamer42 28. Jan 2018

Ohne entsprechende Betriebssystem-Patches sind die Microcode-Patches wertlos. Der Linux...

Bachsau 27. Jan 2018

Eben genau nicht. Man braucht keine Root-Rechte.

Der Held vom... 25. Jan 2018

Du hast aber schon gelesen (und verstanden) was ich schrieb, oder? Von Taktraten war da...


Folgen Sie uns
       


Audi Holoride ausprobiert (CES 2019)

Dirk Kunde probiert für Golem.de den Holoride von Audi aus. Gemeinsam mit Marvel-Figuren wie Rocket aus Guardians of the Galaxy sitzt er dafür auf der Rückbank, während es um eine Rennstrecke geht.

Audi Holoride ausprobiert (CES 2019) Video aufrufen
Padrone angesehen: Eine Mausalternative, die funktioniert
Padrone angesehen
Eine Mausalternative, die funktioniert

CES 2019 Ein Ring soll die Computermaus ersetzen: Am Zeigefinger getragen macht Padrone jede Oberfläche zum Touchpad. Der Prototyp fühlt sich bei der Bedienung überraschend gut an.
Von Tobias Költzsch

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. People Mover Rollende Kisten ohne Fahrer
  3. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Slighter im Hands on Wenn das Feuerzeug smarter als der Raucher ist
  2. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant
  3. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion

    •  /