AMD和Intel CPU的安全漏洞引发了Linux补丁
AMD和Intel CPU的漏洞引发了Linux补丁
这不是一个真正的Linux问题,但通常情况下,Linux内核开发人员不得不清理AMD和Intel留下的问题。这次是关于芯片制造商最新的CPU漏洞:AMD Inception和Intel Downfall。为了修复这些漏洞,Linux创始人Linus Torvalds发布了一套新的补丁。
奇怪的是,这两个漏洞都是推测性的侧信道攻击,可以导致特权数据泄露给非特权进程。Torvalds将它们描述为“又一个问题,用户空间污染了一个可以用来通过侧信道泄露特权信息的微架构结构。”
另外:如何选择适合您的Linux桌面发行版
听起来很熟悉吗?对于Linux安全专家来说,这是再熟悉不过的了。是的,这又是一个例子,这种安全漏洞在Linux圈子里让Intel的Meltdown和Spectre臭名昭著。幸运的是,与之前的两个案例不同,这次开发人员在最新漏洞被曝光之前就提前知道芯片存在问题,因此补丁发布得比较及时。
在这次合并中,Torvalds和他的团队采用了针对AMD Zen 3和Zen 4架构的Speculative Return Address Stack (RAS)溢出漏洞的内核措施。这个漏洞允许用户空间污染微架构结构,随后可以通过侧信道利用它来窃取特权信息。
AMD会告诉您这不是个大问题:芯片巨头认为这个漏洞只有在本地潜在利用的可能性,比如通过下载的恶意软件。然而,ETH Zurich的安全研究人员对此并不那么乐观。他们认为Inception可能会被攻击者在云计算中使用,因为客户通常共享相同的处理硬件资源。
研究人员称Inception是一种使用瞬态执行(TTE)进行训练的新型瞬态执行攻击。TTE攻击不是试图在瞬态窗口中泄露数据,而是滥用瞬态窗口将新的预测插入分支预测器中。结合Phantom,这是一种通过任意指令触发瞬态窗口的方法,Inception可以成为窃取私人数据的恶劣手段。
另外:如果您想提升桌面计算机的安全性,Linux可能是您最好的选择
有趣的是,资深Linux内核开发人员Peter Zijlstra,他与Intel有关联,改进了AMD的补丁。看到一个Intel工程师牵头改进AMD的缓解代码,有点讽刺,欢迎来到开源社区精神!
Linux内核开发人员还解决了Intel Gather Data Sampling (GDS)漏洞,也称为Downfall。这个特定漏洞影响从第六代Skylake到第十一代Tiger Lake的Intel Core处理器。简而言之,您的个人电脑、服务器和云处理器都有可能受到攻击。
根据发现Downfall漏洞的谷歌高级研究科学家Daniel Moghimi的说法,“这个漏洞是由于Intel处理器中的内存优化功能意外地将内部硬件寄存器透露给软件导致的。这允许不受信任的软件访问其他程序存储的数据,正常情况下这是不可访问的。”
那么,情况有多严重?Moghimi已经证明可以利用漏洞窃取其他用户的安全密钥和密码。更糟糕的是,这样的攻击“非常实际”,Moghimi指出:“我用了两个星期来开发一个从OpenSSL中窃取加密密钥的完整攻击过程。它只需要攻击者和受害者共享相同的物理处理器核心,这在实现抢占式多任务和同时多线程的现代计算机上经常发生。”
另外:AMD vs Intel:哪种台式机处理器适合您?
Intel的软件保护扩展(SGX)是一种Intel CPU上可用的硬件安全功能,用于保护用户数据免受恶意软件的攻击,但对于这个漏洞也是无能为力的。
对于一些用户来说,修复可能比问题本身更麻烦。根据英特尔的说法,某些工作负载可能会遇到高达50%的开销。这是相当大的减速!然而,莫吉米警告说:”这是个坏主意。即使您的工作负载不使用向量指令,现代CPU仍然依赖向量寄存器来优化常见操作,例如复制内存和切换寄存器内容。”
然而,对于Linux来说,减速可能不会那么严重。Linux软件工程师和Linux网站Phoronix的主编Michael Larabel对Downfall补丁进行了基准测试。Larabel发现,与Meltdown、Spectre及其相关补丁影响I/O或用户空间和内核交互的情况不同,Downfall的修复仅影响用户空间绑定的软件。他还发现,尽管性能下降往往不像英特尔预测的那么糟糕,但仍然存在一些显著的减速。
Linux安全补丁已合并到即将发布的Linux 6.5内核的Linux Git中。包含这些补丁的最新稳定点版本包括Linux版本6.4.9、6.1.44、5.15.125、5.10.189、4.19.290和4.14.321。这些版本涵盖了当前的Linux 6.4稳定系列和受支持的长期支持(LTS)系列内核。
此外: 最佳一体机:Mac、联想等进行比较
这些补丁可以促进报告CPU的漏洞状态,并引入新的控制措施,以与最新的CPU微码一起修改其行为。当然,要使这些补丁起作用,您还必须安装AMD和英特尔的微码更新。
那么,您应该怎么做呢?准备好在新的微码可用时安装它。然后,在补丁逐渐可用时,及时为您的Linux系统打补丁。对于Linux桌面用户来说,这并不是什么大问题,但对于在服务器和云端运行Linux的用户来说,这将是个大问题。
