Инженер из AMD предложил упростить в ядре Linux управление блокировками уязвимостей CPU
Инженер из AMD предложил упростить в ядре Linux управление блокировками уязвимостей CPU
Так как число поддерживаемых в ядре Linux режимов для противостояния уязвимостям в CPU достигло 15 и перечисление всех уязвимостей в командной строке ядра стало довольно сложной задачей, разработчик ядра из компании AMD предложил перейти от настройки блокировки конкретных уязвимостей к выбору блокировки векторов атаки.
Методы блокировки предлагается активировать в зависимости от вида нарушения изоляции: между пользователем и ядром (mitigate_user_kernel), между пользователем и другим пользователем (mitigate_user_user), между гостевой системой и хост-окружением (mitigate_guest_host), между разными гостевыми системами (mitigate_guest_guest) и между разными потоками (mitigate_cross_thread).
Предложенный подход даст возможность активировать только защиту от тех классов уязвимостей, которые реально волнуют пользователя. Например, владельцы облачных окружений могут включить режимы mitigate_guest_host и mitigate_guest_guest, после чего будут активированы методы защиты от уязвимостей BHI, GD, L1TF, MDS, MMIO, Retbleed, RFDS, Spectre_v2, SRBDS, SRSO и TAA.
Linux / Линукс 🥸
Так как число поддерживаемых в ядре Linux режимов для противостояния уязвимостям в CPU достигло 15 и перечисление всех уязвимостей в командной строке ядра стало довольно сложной задачей, разработчик ядра из компании AMD предложил перейти от настройки блокировки конкретных уязвимостей к выбору блокировки векторов атаки.
Методы блокировки предлагается активировать в зависимости от вида нарушения изоляции: между пользователем и ядром (mitigate_user_kernel), между пользователем и другим пользователем (mitigate_user_user), между гостевой системой и хост-окружением (mitigate_guest_host), между разными гостевыми системами (mitigate_guest_guest) и между разными потоками (mitigate_cross_thread).
Предложенный подход даст возможность активировать только защиту от тех классов уязвимостей, которые реально волнуют пользователя. Например, владельцы облачных окружений могут включить режимы mitigate_guest_host и mitigate_guest_guest, после чего будут активированы методы защиты от уязвимостей BHI, GD, L1TF, MDS, MMIO, Retbleed, RFDS, Spectre_v2, SRBDS, SRSO и TAA.
Linux / Линукс 🥸
Канал источник:@linux_gram