Megérkezett a 4.15-ös Linux kernel végleges verziója

Kernel

Hosszas vajúdás után Linus 10 órával ezelőtt zöld utat adott a 4.15-ös Linux kernel végleges verziójának. A kiadási ciklus a Meltdown/Spectre felfordulás miatt a tervezettnél 2 héttel hosszabbra sikerült és a 4.15 kiadásával az ezzel kapcsolatos munka még koránt sem ért véget.

Részletek a bejelentésben.

( Raynes | 2018. 01. 29., h – 17:35 )

Na, fel is passzintottam Arch alá a staging tárolóból, csak hogy fősodratú, frissítésmániás mérnökuraságom ne okozzon csalódást hajbazernek. Már alig várom a 4.16 RC1-et, abban fog megjelenni a Spectre1 elleni védelem, azzal szemben mikrokód híján már majdnem egy álló hónapja sebezhető vagyok (annak ellenére, hogy a böngészők is frissítve vannak), ha a publikálás dátumát nézem. Bár hivatalosan még nem használják ki, de ennyi idő után sose tudni biztosra.
„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

De feltehetően erről nem valami sok hacker tudott eddig. Most már viszont 1 hónapja tudnak róla, csodálkozok is, hogy még nem jelentettek valamit, ami már kihasználja. Pedig ha valaki nagy bulit akar csapni, akkor most kell valami fain malware-t villantania, még gépek 100 millió sebezhetők, futnak foltozatlanul. Kb. 1 hónap múlva hiába fogja valaki kihasználni ezeket a sebezhetőségeket, addigra már majdnem minden gép foltozva lesz.

Phoronix azt írta, hogy a 4.16-os kernelben még optimalizálnak a KTPI-t és a Retpoline-on is.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Én úgy gondolom, az a kód, amelyik ezt a sebezhetőséget távolról, adatlopásra tudja kihasználni jelenleg az Intelnél és Izraelben van "bedrótozva". És ha internethez kábel, WiFi adott, ehhez elég áram alá helyezni a géped.

Ha másvalaki a gépedre juttat olyan "csodát", amely mindezt helyben és magasabb layerből intézné, egyrészt arról, hogy valaki a processzoraiban tömegesen "turkál", az Intelnek rövidesen tudomása lesz, - esetleg épp az AMT-n keresztül, - még az is lehet, hogy már vannak a ilyen támadások ellen is nem nyilvános megoldásai, ha már létezik "aktív menedzsment".

Másrészt, az eredményes "hallgatózáshoz" a lokális rendszerből idő kell (sztem, legalább órák, napok,) ennyi idő alatt a kód az oprendszerben biztosan "rálép valaki kisújjára" és lelepleződik.

Ha még is megszerzett belépési kódokat kulcsokat, akkor további sebezhetőségre lesz szüksége a géped feletti jogosultság átvételére. (megkockáztatom, hogy a géped idegenek általi megtörése ezúton elvi lehetőség csupán.)

Annyira nem optimista, a hangsúly a majdnem-en van. Most viszont majdnem az összes foltozatlan, főleg valamelyik Spectre ellen, az a durva. Hiszen aki fel is tette az új BIOS-t, mikrokódot, mert azon kevesek között volt, hogy kapott a procija új mikrokódot vagy a lapja is új BIOS-t, most annak is letiltja a MS, meg az Intel is visszavonta a gyártókkal egyetemben, mert instabilitást okoz. Persze, lesznek sokan, akik nem teszik fel a foltokat, mert jajj lassít, letiltják a frissítést, meg inkább használnak olyan régi rendszert, amire nem is fog frissítés jönni. Nyilván, aki így jár el, megérdemli, hogy felnyomják, nem tudom sajnálni.

Hihetetlen, hogy globálisan milyen balfék módon kezelték ezt az egész sérülékenységproblémát.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Igen, az is nagyon gáz, hogy hogyan kezelik a problémakör, mégis, sokkal nagyobb gáznak tartom, hogy hogyan terveztek, gyártottak processzorokat. Lehet, Amerika kidobta a Kaspersky-t, mondván, hogy kémkedik, most a világon a sor, hogy kidobja az Intelt pont ugyanezért. Nem hiszem el egy percig sem, hogy ezt az egészet nem direkt csinálták. Azt sem hiszem el, hogy van olyan titkosszolgálat, aki nem tud a gépemen garázdálkodni a tudtom nélkül.

--
robyboy

( Raynes | 2018. 02. 10., szo – 02:23 )

Na végre, február 7-én kijött a 4.15.2-es kernel, amiben már nem csak Meltdown, Spectre v2, de már a Spectre v1 ellen is van tisztán szoftveres javítás, amihez nem kell mikrokód sem. A kerneleseknek 34 napba telt, mire minden ezzel kapcsolatos sérülékenységet javítottak, és még így is örülhetünk, mert Windowsnál sokkal többet kell rá várni.

Linux 4.15.2-2-ARCH #1 SMP PREEMPT Thu Feb 8 18:54:52 UTC 2018 x86_64 GNU/Linux

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum