Abo
  • Services:
Anzeige
Der Meltdown auf einer Intel-CPU (Symbolbild)
Der Meltdown auf einer Intel-CPU (Symbolbild) (Bild: Marc Sauter/PC Games Hardware/Montage: Oliver Nickel)

Compiler, Linux-Kernel und Mikrocode gegen Spectre

Von den beiden Spectre-Varianten sind auch unter Linux nahezu alle verbreiteten CPU-Architekturen betroffen. Neben den x86-Chips von Intel betrifft das natürlich auch ARM-CPUs, ebenso wie laut IBM die Power-Serien 7,8 und 9 und wohl auch die Z-Serie sowie Fujitsu zufolge auch dessen Sparc-Server-CPUs. Oracle hat mit seinen Januar-Updates ebenfalls bestätigt, dass seine Sparc-v9-CPUs von Spectre betroffen sind. Das meldet das britische Magazin The Register unter Berufung auf ein nichtöffentliches Supportdokument.

Anzeige

Für Variante 1 von Spectre (CVE-2017-5753) werden im Linux-Kernel mit Hilfe der Compiler GCC und LLVM "speculative fences" an betroffenen Code-Stellen eingefügt. Die meisten Distro-Kernel sollten inzwischen über entsprechende Mechanismen verfügen.

Darüber hinaus gibt es weitere Patches, die aktiv gegen diese Spectre-Variante vorgehen sollen, über deren Verwendung aber noch nicht abschließend entschieden ist. Details dazu liefert das Magazin LWN.net.

Mikrocode-Updates als hilfreicher Schritt

Um auch gegen die zweite Variante von Spectre (CVE-2017-5715) geschützt zu sein, sollten Linux-Nutzer auf jeden Fall Mikrocode-Updates für ihre jeweilige Plattform einspielen, sofern diese bereits zur Verfügung stehen.

Intel hat den aktualisierten Mikrocode am 8. Januar veröffentlicht und die meisten Distributionen sollten diesen bereits als Paket bereitstellen. Notwendig wird ein Mikrocode-Update außerdem für die neue Zen-Architektur von AMD. Ob dies Ryzen und Epyc gleichermaßen betrifft, ist derzeit nicht bekannt. Um hier Mikrocode-Updates einspielen zu können, sind einige vorbereitenden Kernel-Patches notwendig, die in den aktuellen Upstream-Kernel bereits verfügbar sind.

Zur Verfügung gestellt wird der AMD-Mikrocode für Zen bereits von Suse, die schreiben, dass damit der Branch Predictor abgeschaltete werde. Das kann wegen der zu erwartenden massiven Leistungseinbußen dabei aber so nicht stimmen. Diese Vermutung hat AMD auch dem US-Magazin Phoronix bestätigt und das Unternehmen arbeite demnach gemeinsam mit Suse an einer besseren Formulierung. AMD selbst beschreibt dieses Update als optional, da die Lücke nur sehr schwer auf den Chips auszunutzen sei.

Debian hat diesen Mikrocode bereits für seinen Unstable-Zweig alias Sid übernommen. Es ist davon auszugehen, dass der AMD-Mikrocode so auch in anderen Debian-Versionen sowie in Ubuntu und darauf basierenden Distributionen landen wird. In der Upstream-Quelle Linux-Firmware von Kernel.org fehlt das Mikrocode-Update von AMD aber noch. Mikrocode-Updates von IBM für Power- und Z-Series-Systeme gibt es direkt vom Hersteller. ARM verweist auf Patches für seine Trusted Firmware, die die SoC- oder Geräte-Hersteller einspielen sollten.

Kernel-Patches zusätzlich zum Mikrocode

Zusätzlich dazu gibt es weitere Umbaumaßnahmen im Linux-Kernel, die teilweise direkt auf den Mikrocode-Funktionen aufbauen, die das Verhalten der CPU in bestimmten Situationen verändern. Die Upstream-Community diskutiert hier aber ebenfalls noch die besten Lösungen und Mechanismen zur Umsetzung. Einige Distro-Kernel nutzen die zur Diskussion stehenden Patches aber bereits.

Das betrifft vor allem die Verwendung von Indirect Branch Restricted Speculation (IBRS) für die x86-Architetur. In der Beschreibung dazu heißt es: "Wenn IBRS gesetzt ist, können Beinahe-Rückgaben- und Beinahe-indirekte-Sprünge/Aufrufe ihre vorhergesagte Zieladresse nicht durch Code steuern, der in einem weniger privilegierten Vorhersagemodus ausgeführt wurde, bevor der IBRS-Modus zuletzt mit dem Wert 1 oder auf einem anderen logischen Prozessor geschrieben wurde, solange alle RSB-Einträge aus dem vorherigen weniger privilegierten Vorhersagemodus überschrieben werden."

Darüber hinaus gibt es noch die Patches für sogenannte Return Trampolines (Retpoline), die LWN.net als eine Attack auf den Branch Predictor nach dem Prinzip des Return-Oriented Programming (ROP) beschreibt. Laut den Initiatoren von Google sollen damit Indirect Branches von der spekulativen Ausführung isoliert werden.

Ob und wann IBRS oder Retpoline oder beide gemeinsam verwendet werden sollten, ist derzeit noch nicht klar. Retpolines funktionieren nach derzeitigem Kenntnisstand aber nicht zuverlässig auf Skylake-CPUs. Auf älteren Intel-CPUs verursachen die IBRS-Patches dagegen teils schwere Leistungseinbußen.

Über dieses Durcheinander beschwert sich Kernel-Maintainer Kroah-Hartman sehr deutlich. So heißt es etwa: "Wir hatten keine wirklichen Informationen darüber, was genau das Spectre-Problem war"; die vielen verschiedenen Patches für die unterschiedlichen Lösungsansätze seien teilweise extrem schlecht gewesen. Eine Koordination wie bei Meltdown über die nicht-öffentliche Security-Liste der Kernel-Hacker hat hier wohl nicht stattgefunden, stattdessen haben vor allem die Enterprise-Distributionen schnell eigene Lösungen umgesetzt. Kroah-Hartman erwartet eine in der Community abgestimmte Lösung für die Probleme mit Spectre in den kommenden Wochen.

Für Linux-Nutzer findet sich auf Github ein Skript, das die jeweilige Nutzung der Patches und Updates auf dem laufenden System analysiert. In den kommenden Wochen sollten Nuzter die zur Verfügung gestellten Updates genau beobachten und einspielen. Wer aktuell kein Tool zur Überprüfung auf Bios-Updates installiert hat sollte das nachholen. Auch wer aktuell bereits Patches eingespielt hat, sollte weiter aufmerksam bleiben. In vielen Fällen sind die aktuellen Fehlerbehebungen wohl erst ein Anfang und dürften langfristig durch stabilere Lösungen ersetzt werden.

Nachtrag vom 18. Januar 2018, 12:40 Uhr

Wir haben den Text um Informationen von Oracle erweitert.

 Updates für Langzeit-Linux und ARM64

eye home zur Startseite
Phantom 19. Jan 2018

Ja ich habe jetzt auch mein Gerät in der Liste gefunden. Gestern war es noch nicht da...

Themenstart

Der Held vom... 19. Jan 2018

Wie hier schon mehrfach erwähnt, rein von der Leistung her lohnt es nicht. Anders sieht...

Themenstart

Quantium40 19. Jan 2018

Ob die potentiellen Leistungseinbußen überhaupt ins Gewicht fallen, hängt schon jetzt...

Themenstart

SolemSchicktLes... 19. Jan 2018

TL DR: Kann Meltdown Daten lesen, die nicht im Level 1 Data Cache der CPU liegen? Wenn ja...

Themenstart

mehrfachgesperrt 17. Jan 2018

Netter und anschaulicher Vergleich. Danke dafür.

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. TAP.DE Solutions GmbH, München
  2. Robert Bosch GmbH, Abstatt
  3. über SCHLAGHECK RADTKE OLDIGES executive consultants, Großraum Düsseldorf
  4. BWI GmbH, München


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Sicherheitsupdate Microsoft-Compiler baut Schutz gegen Spectre
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

  1. Re: "Überraschung"

    SelfEsteem | 18:01

  2. Re: Vor dem Ausdrucken nachdenken...

    silentburn | 18:00

  3. Re: Akkukiller

    Arsenal | 17:59

  4. Re: DOW Jones +30% in nur einem Jahr

    Boa-Teng | 17:49

  5. Warum beteiligt sich Seite mit "IT-News für...

    Boa-Teng | 17:47


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel