Abo
  • Services:

Compiler, Linux-Kernel und Mikrocode gegen Spectre

Von den beiden Spectre-Varianten sind auch unter Linux nahezu alle verbreiteten CPU-Architekturen betroffen. Neben den x86-Chips von Intel betrifft das natürlich auch ARM-CPUs, ebenso wie laut IBM die Power-Serien 7,8 und 9 und wohl auch die Z-Serie sowie Fujitsu zufolge auch dessen Sparc-Server-CPUs. Oracle hat mit seinen Januar-Updates ebenfalls bestätigt, dass seine Sparc-v9-CPUs von Spectre betroffen sind. Das meldet das britische Magazin The Register unter Berufung auf ein nichtöffentliches Supportdokument.

Stellenmarkt
  1. Personalwerk Holding GmbH, Wiesbaden
  2. Robert Bosch GmbH, Reutlingen

Für Variante 1 von Spectre (CVE-2017-5753) werden im Linux-Kernel mit Hilfe der Compiler GCC und LLVM "speculative fences" an betroffenen Code-Stellen eingefügt. Die meisten Distro-Kernel sollten inzwischen über entsprechende Mechanismen verfügen.

Darüber hinaus gibt es weitere Patches, die aktiv gegen diese Spectre-Variante vorgehen sollen, über deren Verwendung aber noch nicht abschließend entschieden ist. Details dazu liefert das Magazin LWN.net.

Mikrocode-Updates als hilfreicher Schritt

Um auch gegen die zweite Variante von Spectre (CVE-2017-5715) geschützt zu sein, sollten Linux-Nutzer auf jeden Fall Mikrocode-Updates für ihre jeweilige Plattform einspielen, sofern diese bereits zur Verfügung stehen.

Intel hat den aktualisierten Mikrocode am 8. Januar veröffentlicht und die meisten Distributionen sollten diesen bereits als Paket bereitstellen. Notwendig wird ein Mikrocode-Update außerdem für die neue Zen-Architektur von AMD. Ob dies Ryzen und Epyc gleichermaßen betrifft, ist derzeit nicht bekannt. Um hier Mikrocode-Updates einspielen zu können, sind einige vorbereitenden Kernel-Patches notwendig, die in den aktuellen Upstream-Kernel bereits verfügbar sind.

Zur Verfügung gestellt wird der AMD-Mikrocode für Zen bereits von Suse, die schreiben, dass damit der Branch Predictor abgeschaltete werde. Das kann wegen der zu erwartenden massiven Leistungseinbußen dabei aber so nicht stimmen. Diese Vermutung hat AMD auch dem US-Magazin Phoronix bestätigt und das Unternehmen arbeite demnach gemeinsam mit Suse an einer besseren Formulierung. AMD selbst beschreibt dieses Update als optional, da die Lücke nur sehr schwer auf den Chips auszunutzen sei.

Debian hat diesen Mikrocode bereits für seinen Unstable-Zweig alias Sid übernommen. Es ist davon auszugehen, dass der AMD-Mikrocode so auch in anderen Debian-Versionen sowie in Ubuntu und darauf basierenden Distributionen landen wird. In der Upstream-Quelle Linux-Firmware von Kernel.org fehlt das Mikrocode-Update von AMD aber noch. Mikrocode-Updates von IBM für Power- und Z-Series-Systeme gibt es direkt vom Hersteller. ARM verweist auf Patches für seine Trusted Firmware, die die SoC- oder Geräte-Hersteller einspielen sollten.

Kernel-Patches zusätzlich zum Mikrocode

Zusätzlich dazu gibt es weitere Umbaumaßnahmen im Linux-Kernel, die teilweise direkt auf den Mikrocode-Funktionen aufbauen, die das Verhalten der CPU in bestimmten Situationen verändern. Die Upstream-Community diskutiert hier aber ebenfalls noch die besten Lösungen und Mechanismen zur Umsetzung. Einige Distro-Kernel nutzen die zur Diskussion stehenden Patches aber bereits.

Das betrifft vor allem die Verwendung von Indirect Branch Restricted Speculation (IBRS) für die x86-Architetur. In der Beschreibung dazu heißt es: "Wenn IBRS gesetzt ist, können Beinahe-Rückgaben- und Beinahe-indirekte-Sprünge/Aufrufe ihre vorhergesagte Zieladresse nicht durch Code steuern, der in einem weniger privilegierten Vorhersagemodus ausgeführt wurde, bevor der IBRS-Modus zuletzt mit dem Wert 1 oder auf einem anderen logischen Prozessor geschrieben wurde, solange alle RSB-Einträge aus dem vorherigen weniger privilegierten Vorhersagemodus überschrieben werden."

Darüber hinaus gibt es noch die Patches für sogenannte Return Trampolines (Retpoline), die LWN.net als eine Attack auf den Branch Predictor nach dem Prinzip des Return-Oriented Programming (ROP) beschreibt. Laut den Initiatoren von Google sollen damit Indirect Branches von der spekulativen Ausführung isoliert werden.

Ob und wann IBRS oder Retpoline oder beide gemeinsam verwendet werden sollten, ist derzeit noch nicht klar. Retpolines funktionieren nach derzeitigem Kenntnisstand aber nicht zuverlässig auf Skylake-CPUs. Auf älteren Intel-CPUs verursachen die IBRS-Patches dagegen teils schwere Leistungseinbußen.

Über dieses Durcheinander beschwert sich Kernel-Maintainer Kroah-Hartman sehr deutlich. So heißt es etwa: "Wir hatten keine wirklichen Informationen darüber, was genau das Spectre-Problem war"; die vielen verschiedenen Patches für die unterschiedlichen Lösungsansätze seien teilweise extrem schlecht gewesen. Eine Koordination wie bei Meltdown über die nicht-öffentliche Security-Liste der Kernel-Hacker hat hier wohl nicht stattgefunden, stattdessen haben vor allem die Enterprise-Distributionen schnell eigene Lösungen umgesetzt. Kroah-Hartman erwartet eine in der Community abgestimmte Lösung für die Probleme mit Spectre in den kommenden Wochen.

Für Linux-Nutzer findet sich auf Github ein Skript, das die jeweilige Nutzung der Patches und Updates auf dem laufenden System analysiert. In den kommenden Wochen sollten Nuzter die zur Verfügung gestellten Updates genau beobachten und einspielen. Wer aktuell kein Tool zur Überprüfung auf Bios-Updates installiert hat sollte das nachholen. Auch wer aktuell bereits Patches eingespielt hat, sollte weiter aufmerksam bleiben. In vielen Fällen sind die aktuellen Fehlerbehebungen wohl erst ein Anfang und dürften langfristig durch stabilere Lösungen ersetzt werden.

Nachtrag vom 18. Januar 2018, 12:40 Uhr

Wir haben den Text um Informationen von Oracle erweitert.

Nachtrag vom 23. Januar 2018, 10:41 Uhr

Wir haben Informationen über die zurückgezogenen Microcode-Updates für Broadwell- und Haswell-Prozessoren ergänzt.

Nachtrag vom 24. Januar 2018, 13:56 Uhr

Apples Meltdown-Patches für MacOS Sierra und El Capitan nachgetragen.

 Updates für Langzeit-Linux und ARM64
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8


Anzeige
Top-Angebote
  1. 299€ (Vergleichspreis 403,90€)
  2. 349€ (Vergleichspreis 399€)
  3. 57,90€ + 5,99€ Versand (zusätzlich 15€ Rabatt bei Zahlung mit Masterpass)
  4. jetzt bis zum 28.06. direkt bei Apple bestellen und die 0% Raten-Finanzierung erhalten

logged_in 14. Feb 2018

i7-930 hier. Hast sicher auch schon oft nach einem guten Upgrade gesucht, und dann aus...

cryptomagic 08. Feb 2018

Der Frage haben wir uns genauer angenommen, und unsere Ergebnisse in einem Artikel...

daydreamer42 28. Jan 2018

Ohne entsprechende Betriebssystem-Patches sind die Microcode-Patches wertlos. Der Linux...

Bachsau 27. Jan 2018

Eben genau nicht. Man braucht keine Root-Rechte.

Der Held vom... 25. Jan 2018

Du hast aber schon gelesen (und verstanden) was ich schrieb, oder? Von Taktraten war da...


Folgen Sie uns
       


Xbox E3 2018 Pressekonferenz - Golem.de Live

Große Gefühle beim E3-2018-Livestream von Microsoft: Erlebt mit uns die Ankündigungen von Halo Infinite, Gears 5, Sekiro, Cyberpunk 2077 und vielem mehr.

Xbox E3 2018 Pressekonferenz - Golem.de Live Video aufrufen
Jurassic World Evolution im Test: Das Leben findet einen Weg
Jurassic World Evolution im Test
Das Leben findet einen Weg

Ian Malcolm hatte recht: Das Leben wird ausgegraben und gebrütet, es frisst und stirbt oder es bricht aus und macht Jagd auf die Besucher. Nur leider haben die Entwickler von Jurassic World Evolution ein paar kleine Design-Fehler begangen, so wie Henry Wu bei der Dino-DNA.
Ein Test von Marc Sauter

  1. Vampyr im Test Zwischen Dracula und Doktor
  2. Fe im Test Fuchs im Farbenrausch
  3. Thaumistry: In Charm's Way im Test Text-Adventure der ganz alten Schule

3D-Druck on Demand: Wenn der Baumarkt Actionfiguren aus Stahl druckt
3D-Druck on Demand
Wenn der Baumarkt Actionfiguren aus Stahl druckt

Es gibt viele Anbieter für 3D-Druck on Demand und die Preise fallen. Golem.de hat die 3D-Druckdienste von Toom, Conrad Electronic, Sculpteo und Media Markt getestet, um neue Figuren der Big-Jim-Reihe zu erschaffen.
Ein Praxistest von Achim Sawall


    Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
    Business-Festival
    Cebit verliert 70.000 Besucher und ist hochzufrieden

    Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

    1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

      •  /