Retpoline-Patch kommt für Linux 4.9 und Linux 4.14

Gute Nachrichten für Benutzer von Linux mit den Kernelversionen 4.9, 4.14, und 4.15. Diese Kernelversionen haben oder bekommen ein Retpoline-Update, um die System gegen Spectre-Angriffe zu härten. Hier ein paar Informationen zum Thema.

Vorbemerkungen zu Meltdown/Spectre

>Unter den Namen Meltdown und Spectre sind zum Jahreswechsel 2018 zwei Angriffsmethoden bekannt geworden, die Sicherheitslücken auf Hardwareebene (CPU) ausnutzen können. Dadurch lassen sich Prozessgrenzen zwischen Anwendungen und zum Betriebssystem überschreiten. Anwendungen können so sensitive Informationen aus unberechtigten Speicherbereichen abrufen.

• Spectre (Variante 1 und 2): Diese durchbricht die Isolation zwischen verschiedenen Anwendungen. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Daten anderer Programme zuzugreifen und diese zu lesen. Die Sicherheitslücke besteht nach aktuellem Wissen auf allen CPUs.
• Meltdown (Variante 3): Diese durchbricht die grundlegende Isolierung zwischen Benutzeranwendungen und dem Betriebssystem. Dieser Angriff ermöglicht es einem Programm, auf den Speicher und damit auch auf die Daten anderer Programme und des Betriebssystems zuzugreifen. Diese Sicherheitslücke besteht nach aktuellem Wissen nur auf Intel CPUs.

Über die Links lassen sich die betreffenden PDF-Dokumente abrufen. Eine Informationen finden sich auch unter meltdownattack.com.

Die Retpoline-Technik von Google

Die Hersteller von Betriebssystemen sowie die Browseranbieter versuchen zeitnah Updates zum Härten gegen diese Angriffe bereitzustellen. Bisherig Update führen aber teilweise zu erheblichen Leistungseinbußen auf den betreffenden Systemen.

Google hat intern eine eigene Technik mit dem Namen Retpoline zum Schutz gegen spekulative Seitenkanalangriffe wie Meltdown und Spectre entwickelt. Diese Technologie erfordert aber, dass die Programme neu übersetzt werden. Google setzt die Retpoline selbst intern für seine Cloud-Dienste ein und behauptet, dass es zu keinen merkbaren Leistungseinbußen komme. Ich hatte das Thema im Artikel Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust behandelt.

Linux-Kernel bekommen Retpoline

Bereits im Artikel Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust hatte ich angedeutet, dass wir in Linux bald eine Härtung gegen Spectre mittels Retpoline bekommen könnte. Laut Phoronix ist das bald der Fall:

Several Linux kernel versions, including 4.9, 4.14, and the upcoming 4.15, will have Retpoline support built in to mitigate against the Spectre vulnerability.

Also: Die Linux Kernel-Versionen 4.9, 4.14 sowie die kommende Version 4.15 bekommen Retpoline-Unterstützung, um gegen Spectre gehärtet zu werden. Greg Kroah-Hartman, einer der Köpfe in der Kernel-Entwicklung hat due Patches für die Kernel Versionen 4.9 und 4.14 akzeptiert. Das bedeutet, dass Linux-Nutzer gegen Spectre geschützt werden, ohne dass es zu Leistungseinbußen kommt.

Die Kernel sollen die Version 4.9.77 und 4.14.14 erhalten. Schlechter sieht es für Linux 4.4 und 3.18 aus. Die sind zwar noch im Support. Aber dort ist kein Retpoline-Patch im Sicht. In der im Moment im Test befindlichen Kernel-Version 4.15 ist Retpoline bereits integriert. (via)

Ähnliche Artikel
Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 1
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 2
Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust
AMD: Firmware-Updates gegen Spectre 2, Windows-Updates
Intel Fixes gegen Meltdown und Spectre wegen Bugs gestoppt
Vorsicht vor Spectre/Meltdown-Test InSpectre
Meltdown/Spectre Fixes bringen AWS 'ans Schwitzen'
Meltdown/Spectre: Cloud-Anbieter suchen Intel-Alternativen
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 2
Meltdown und Spectre: Was Windows-Nutzer wissen müssen