导读 | 世界知名Linux开发者Greg Kroah-Hartman发出警告,Meltdown和Spectre CPU漏洞可能会对Linux开发者造成严重影响,并对英特尔封锁消息、阻挠开发人员合作等进行了抨击和批评。同时也告知开发人员应当如何处理这些漏洞的细节问题。 |
29日,在北美开源峰会上,世界著名Linux内核开发者Greg Kroah-Hartman对英特尔最初披露的Meltdown和Spectre CPU漏洞提出了质疑。
Kroah-Hartman是世界领先的Linux内核开发人员之一,负责维护稳定的Linux内核,并被Linux基金会聘用为研究员。
在他的演讲中,Kroah-Hartman详细介绍了Linux7种Meltdown和Spectre变体对内核开发人员的根本影响。
他说:“Jann Horn在2017年7月发现了第一个问题,但直到去年10月25日,一些内核社区的人才听到有关该漏洞的传言。 在很长一段时间里,我们只听到的谣言是——因另一家知名操作系统供应商让英特尔放下架子,才使得英特尔披露有关CPU的漏洞。”
英特尔欲盖弥彰,却无奈披露CPU漏洞
英特尔于1月3日首次公开承认了Meltdown和Spectre漏洞。
多位研究人员向英特尔报告了最初的研究,其中包括来自谷歌Project Zero项目的Horn。Kroah-Hartman说,当英特尔最终决定告诉Linux开发人员时,这个信息就被封锁了。
通常情况下,当我们发现内核安全漏洞时,会把问题转交到Linux内核安全团队,而后我们会挑选合适的人员协助我们一起工作,最终推出补丁。
英特尔和SUSE之间存在隔阂,他们和Red Hat之间存在隔阂,也和Canonical存在隔阂。他们从未告知过Oracle,也不允许我们相互交谈。
对于最初的一组漏洞,Kroah-Hartman说,不同的Linux供应商通常一起工作。然而,在这种情况下,他们最终选择独立工作,并各自提出不同的解决方案。
这真的行不通,我们许多内核开发人员对(英特尔)大声恳求,终于在(2017年)12月的最后一周让他们允许我们彼此之间可以展开交谈。
我们所有的圣诞假期都被毁了。
这真的很糟糕。英特尔真心把这件事搞砸了。
Linux内核由各种组织开发和运行,并且有大型供应商支持的企业内核以及社区内核。Kroah-Hartman表示,世界上大多数人都没有在企业支持的Linux内核上运行。 他指出,英特尔习惯于与公司合作,而且最初只与企业供应商合作来解决Meltdown和Spectre的问题。
世界上大多数人都使用Debian,或者运行自己的内核。
Debian不被允许披露这些漏洞,所以世界上大多数人都被他们搞得手足无措,这真不是件什么好事儿。
英特尔的反馈
Kroah-Hartman表示,据英特尔称,在Linux内核开发人员于2017年12月和2018年1月向该公司表示不满之后,它修复了其未来与Meltdown和Spectre相关的漏洞披露的流程。
最新变体的Meltdown和Spectre被称为Foreshadow,并于8月14日公开披露,Kroah-Hartman表示Linux内核开发人员已提前得到通知,因此可以通过协作方式与Linux社区进行修复。
英特尔这次有点进步了。
有意思的是,Meltdown和Spectre漏洞产生了一个副作用,Linux和Windows开发人员目前正在合作,因为两个操作系统都面临着类似来自CPU漏洞的风险。
Windows和Linux内核开发人员现在有了这个很棒的反向通道(back channel)。我们在互相交谈,我们在为对方修复bug。
我们合作得很好。我们一直想要这样。
修补缺陷
根据Kroah-Hartman的说法,目前所有已被报告出来的Meltdown和Spectre漏洞在现代支持的Linux内核中都已经得到了修复。
然而,他警告说,并不是所有的修复都被移植到较老的Linux 4.4内核上,并建议用户不要在运行该内核的系统上运行任何不受信任的代码。
虽然Linux上有很多补丁,但他强烈建议用户也使用英特尔的微代码补丁进行更新,因为它们给予了操作系统所不能提供的额外保护。
Kroah-Hartman还警告说,因新的变体还有可能会出现,所以Meltdown和Spectre问题将会持续很长一段时间。
修复最初的Meltdown和Spectre变体需要内核开发人员付出很多心血,而Kroah-Hartman表示,他们正在努力开发更多的自动化修复程序。
未来10年里,我们不会再玩儿“打地鼠”的游戏了!
我们需要一种可靠的方法来自动发现错误,或者一个更新的编译器来检测易受攻击的代码模式并消除缺陷。
我们目前正在研究如何准确地检测代码中的Meltdown和Spectre类型的问题。
Kroah-Hartman认为:
安全一直是非常重要的事情。任何一个bug都可能会是一个安全漏洞。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/120875.html