Поиск по сайту:
Слух — черный ход для правды и парадный для лжи (Б. Грасиан).

Linux 6.12-rc5 отключает линейную адресацию Intel «LAM» из соображений безопасности

27.10.2024
Linux 6.12-rc5 отключает линейную адресацию Intel «LAM» из соображений безопасности

В прошлом году Intel внедрила линейную адресную маскировку в ядро Linux как средство, позволяющее пользовательскому пространству хранить метаданные в некоторых битах указателей, не маскируя их перед использованием. LAM может быть полезен для виртуальных машин, дезинфицирующих средств/профилирования/маркировки памяти и других применений. Хотя совершенно новые процессоры Intel Arrow Lake и Lunar Lake поддерживают LAM, ядро Linux теперь отключает LAM из соображений безопасности.

Линейная маскировка адресов теоретически великолепна и может обеспечить некоторые отличные функции в пользовательском пространстве, например, для баз данных, веб-серверов, Java и других языков высокого уровня, а также для профилирования и многого другого. Но помимо того, что Линусу Торвальдсу не нравится название Intel “LAN”, также были обнаружены проблемы с безопасностью при первоначальной поддержке процессора.

Linux 6.12-rc5 отключает линейную адресацию Intel «LAM» из соображений безопасности

 

На прошлой неделе я писал о том, что Линус Торвальдс всё больше расстраивается из-за ошибок в аппаратном обеспечении и теоретических атак на процессоры. В качестве последнего шага на этом фронте, где была затронута Intel LAM, сегодня было отправлено исправление для основной ветки, чтобы отключить функцию маскировки линейных адресов… Исправление от Intel было опубликовано ещё в январе, но затерялось в списке рассылки, пока не было упомянуто в недавних обсуждениях Торвальдсом безопасности процессоров. В исправлении объясняется:

«Функция Intel Linear Address Masking (LAM) имеет уязвимость, связанную с временным выполнением, как описано в статье SLAM. Если не включена функция разделения линейного адресного пространства (LASS), эта уязвимость может быть использована.

До тех пор, пока ядро не добавит поддержку LASS, разрешайте LAM только для COMPILE_TEST или когда меры по предотвращению спекуляций были отключены во время компиляции, в противном случае оставьте LAM отключённым.

Таким образом, если вы не скомпилируете ядро Linux из исходного кода с полностью отключённой опцией «SPECULATION_MITIGATIONS», поддержка линейного адресного маскирования «ADDRESS_MASKING» будет отключена во время компиляции. По сути, использование LAM в ядре Linux нецелесообразно до тех пор, пока не будет реализовано разделение линейного адресного пространства (LASS) для предотвращения вредоносного доступа к виртуальному адресному пространству в пользовательском и системном режимах. Однако для LASS также требуется поддержка на аппаратном уровне, поэтому для современных процессоров Arrow Lake / Lunar Lake поддержка LAM практически бесполезна.

Читать  Как отменить и повторить в Vim(Vi)

Linux 6.12-rc5 отключает линейную адресацию Intel «LAM» из соображений безопасности

 

Этот патч для отключения маскировки адресов LAM был отправлен сегодня утром в рамках срочных исправлений для x86 на неделю вперёд перед выпуском Linux 6.12-rc5, который состоится сегодня вечером.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...
Поделиться в соц. сетях:


5 1 голос
Рейтинг статьи
Подписаться
Уведомить о
guest

**ссылки nofollow

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно


Рекомендуемое
На прошлой неделе было отправлено первоначальное исправление, которое уже было…

Спасибо!

Теперь редакторы в курсе.