Vydaný Linux 4.15, chráni proti Meltdown a Spectre a má ďalšie veľké vylepšenia

Značky: linuxové jadroLinus Torvaldskauza Meltdown a Spectre

DSL.sk, 29.1.2018

Linus Torvalds, autor prvej verzie linuxového jadra a jeho hlavný správca, vydal ako tradične v noci na pondelok novú verziu jadra 4.15.

Cyklus vývoja bol tentokrát narušený vážnymi zraniteľnosťami moderných CPU Meltdown a Spectre a jadro 4.15 bolo vydané až 11 týždňov od 4.14, najdlhšie od roku 2011.

Meltdown a Spectre

Dôležitou novinkou 4.15 je čiastočné riešenie týchto zraniteľností. Proti Meltdown bola nasadená technológia PTI, Page Table Isolation, s prepípaním mapovania pamäťového priestoru pri vstupe a výstupe z jadra, ktorá zabraňuje neprivilegovanému kódu aj teoreticky pristupovať k pamäti jadra.

V prípade Spectre bol vyriešený druhý variant, zneužívanie špekulatívneho vykonávania nepriamych skokov. Vyriešený bol pomocou softvérovej techniky Retpoline, ktorá každý takýto skok nahradí konštrukciou pomocou inštrukcií CALL a RET a zabráni útočníkovi ovplyvňovať špekulatívne vykonávanie. Retpoline ale nie je účinná v niektorých okrajových prípadoch na niektorých procesoroch Intelu a zároveň jej predpokladom je, že pri kompilácii jadra je k dispozícii kompilátor so zapracovanou podporou Retpoline.

Prvý variant Spectre zatiaľ vyriešený nebol.

Podľa dostupných informácií evidentne jadro 4.15 zatiaľ nemá implementované ochrany pomocou nových inštrukcií a možností od Intelu a AMD, ktoré vyvolali vášnivú diskusiu medzi Torvaldsom a ostatnými vývojármi a viedli k tvrdej kritike Torvaldsa na Intel.

Hoci do novej verzie jadra ochrany prichádzajú pochopiteľne až s verziou 4.15, niektoré distribúcie softvérové ochrany zapracovali skôr už do skorších verzií jadra. Pre tie je v prípade Meltdown dostupná staršia podoba opravy postavená na rovnakom princípe ešte označovaná KAISER.

Nové ochrany je možné dynamicky vypnúť parametrami jadra pti=off a spectre_v2=off, zároveň stav ochrany je možné zistiť v /sys/devices/system/cpu/vulnerabilities/.

Ďalšie novinky

Jadro 4.15 ale nerieši len tieto dva vážne bezpečnostné problémy a je v ňom viacero významných noviniek. Veľkou novinkou špeciálne pre majiteľov notebookov je deklarované zlepšenie technológie ALPM, Aggressive Link Power Management, ktorá dovoľuje uvádzať SATA radiče a v dôsledku aj CPU do hlbších úsporných režimov spotreby.

Technológia je síce v jadre už dlhšie, štandardne ale bola vypnutá a v niektorých konfiguráciách pri zapnutí maximálnej úspory spôsobovala problémy až s poškodením dát. V 4.15 je k dispozícii nová úroveň nastavenia med_power_with_dipm, ktorá prináša úsporu ale nemala by vyúsťovať do problémov.

Napríklad na ThinkPade T440s má zlepšiť v režime nečinnosti spotrebu až o 0.9 až 1.2 Wattu oproti nepoužívaniu ALPM.

Výrazne bola zlepšená podpora najnovších grafík AMD v ovládači amdgpu.

Do jadra pribudla tiež podpora pre novú technológiu AMD Secure Encrypted Virtualization, ktorá umožňuje šifrovať pamäť virtuálnych strojov a ochrániť ju tak aj pred hypervízorom.

Zoznam aj menších noviniek je možné nájsť na Kernel Newbies.




Najnovšie články:



Diskusia:

deaktivacia Od reg.: poldinko | Pridané: 29.1.2018 10:03 najlepsia sprava z celeho clanku: "Nové ochrany je možné dynamicky vypnúť parametrami jadra pti=off a spectre_v2=off" pridanie týchto parametrov bude asi prva vec co budem robit po instalacii, kedze aj pár percent výkonu navyše je pri renderovaní videa a 3D podstatné ale absolútna bezpečnosť veru že nie Odpovedať Známka: 5.0 Hodnotiť:

Re: deaktivacia Od: bebebebe | Pridané: 29.1.2018 10:10 Ze absolutna bezpecnost, hehe si pobavil. Odpovedať Známka: 3.8 Hodnotiť:

Re: deaktivacia Od: [Jooky] | Pridané: 29.1.2018 10:12 V tom pripade taku masinu nepouzivaj ani na browsovanie webu ... Odpovedať Známka: -4.7 Hodnotiť:

Re: deaktivacia Od: sadfasdf | Pridané: 29.1.2018 10:20 a v com renderujes video ? Odpovedať Známka: 5.6 Hodnotiť:

Re: deaktivacia Od: cvbncvbn | Pridané: 29.1.2018 10:46 Sak onlajnovo na youporne renderuje tak 8-9 hodin denne ... Odpovedať Známka: 7.8 Hodnotiť:

Re: deaktivacia Od: Adolf Kernel | Pridané: 29.1.2018 11:18 Skor uploadujes na youtube a editujes :D Odpovedať Známka: 0.0 Hodnotiť:

Re: deaktivacia Od reg.: poldinko | Pridané: 29.1.2018 10:57 BLENDER (aj na stabilizaciu, VFX a doplnanie 3D modelov) FUSION 8 - BLACKMAGIC DESIGN (uz len na niektore projekty lebo nepodporuje vsetky kodeky a formaty vo free verzii) LIGHTWORKS (toto už takmer vobec, free verzia ma obmedzene exportne moznosti) Odpovedať Známka: 10.0 Hodnotiť:

Re: deaktivacia Od: mareksa | Pridané: 29.1.2018 21:20 Zdar, a mozes sa podelit kolko v cistom taka pracicka dnes na slvensku hodi? Prave nieco hladam (Zatial mam len skusenosti s After Effects a Blenderom) no Fusion vypada zaujmavo tiez. Vdaka Odpovedať Hodnotiť:

Re: deaktivacia Od: ericek111 [PC] | Pridané: 30.1.2018 0:38 Mne sa celkom pozdáva balíček od The Foundry (Nuke, NukeX a pod.). Pozrel som sa na ten Fusion a workflow má dosť podobný. Odpovedať Hodnotiť:

Re: deaktivacia Od: mareksa | Pridané: 30.1.2018 12:23 Fusion 300$, Nuke NukeX 3700E 7000E :o Odpovedať Hodnotiť:

Re: deaktivacia Od: jvn | Pridané: 29.1.2018 10:52 netreba randrovat na pomalych strojoch.. na mojej aktualnej zostave (cca 3 roky strej) striham 4K videa a vysledok rendrujem do 1080p a rendruje to rychlostou cca 1.5:1 t.j. hodinovy projekt je hotovy za cca 45 minut.. Pokial tam nasekam viac narocnejsich filtrov (stabilizacia a pod), tak cca 1:1. Par % vykonu mi cas rendrovania takmer vobec neovplivni :) Odpovedať Známka: -5.0 Hodnotiť:

Re: deaktivacia Od: jvn | Pridané: 29.1.2018 10:54 Preklep.. spravne malo byt 1.35:1 Tu trojku som tam nedoklepol :) Odpovedať Známka: 6.0 Hodnotiť:

Re: deaktivacia Od: hmmmmmmm.... | Pridané: 29.1.2018 14:10 V akom software? Odpovedať Hodnotiť:

Re: deaktivacia Od: software | Pridané: 30.1.2018 0:05 V tomto Odpovedať Známka: 3.3 Hodnotiť:

Re: deaktivacia Od: qwertyuiop1 | Pridané: 29.1.2018 11:32 Pri renderovani videa a 3d sa neprepinas do kernel modu, takze tieto patche nebudu mat ziadny vplyv. Keby si stale nieco cital a zapisoval z disku alebo siete, ako napr. databaza, webove sluzby, apod., bolo by to o inom. Odpovedať Hodnotiť:

Re: deaktivacia Od: poiuzt | Pridané: 29.1.2018 11:55 Fíha, ako rýchlo miznú dáta o https :) Odpovedať Hodnotiť:

Redeaktivacia Od: syntaxterrorX XX | Pridané: 29.1.2018 11:59 Skoro. Len nazyvat editaciu na non real-time os renderovanim je priekazne nie nepodobne nazyvaniu lepenia fotiek do albumu fotenim. Odpovedať Známka: -3.3 Hodnotiť:

Re: Redeaktivacia Od: qwertyuiop1 | Pridané: 29.1.2018 12:13 Tak zase na editaciu videa nepotrebujes real-time OS. Vlastne ani nechces, lebo nizka latencia je zaplatena nizkou priepustnostou. Rovnako na real-time systemoch najdes pomerne malo video editorov (odhadom asi tak 0), co by mohol byt dalsi problem. Aj z vyssie uvedeneho dovodu. A nastrihane video sa renderuje, ked sa uklada finalny vystup. Vsetky tie prelinacky, color grading, filtre atd treba predsa vypocitat, pre kazdy frame videa. Odpovedať Hodnotiť:

Neredeaktivacia Od: syntaxterrorX XX | Pridané: 29.1.2018 12:29 Moj obdiv voci vsetkym, co vedia, co na co nepotrebujem a nechcem je slovne natolko nevyjadritelny, ze vedie az k zrozumitelnejsej forme vyjadrovania priekazne jednoznacnych stanovisk. Odpovedať Známka: 0.0 Hodnotiť:

Re: Neredeaktivacia Od: qwertyuiop1 | Pridané: 29.1.2018 17:27 Tak drzim palce, taketo nieco miestna komunita urcite nedopusti. Aby syntaxterrorX pisal zrozumitelne, kam sa to ten svet ruti? Odpovedať Hodnotiť:

Hmmmm Od: Erikb | Pridané: 29.1.2018 12:15 A neodjebe mi to BIOS? Odpovedať Známka: 2.0 Hodnotiť:

Re: Hmmmm Od: Mxxl | Pridané: 29.1.2018 12:19 a čo myslíš, linux kernel je windows? Odpovedať Známka: -7.8 Hodnotiť:

Re: Hmmmm Od: Sancho | Pridané: 29.1.2018 12:51 Nuz, nebudem ti klamat - jedno ubuntu bolo stiahnute kvoli tomu, ze jeho kernel updatoval bios a sposoboval smrt par thinkpadom... Odpovedať Známka: 6.0 Hodnotiť:

Re: Hmmmm Od: Mxxl | Pridané: 29.1.2018 13:46 tak ale tu sme na DSL, tu sa automaticky predpokladá že si stiahneš len kernel a kód si napíšeš sám vo veľkom kancli :) a neťahaj do debaty vírusy :) ubuntu je smrť Odpovedať Známka: -2.0 Hodnotiť:

Re: Hmmmm Od: meheh | Pridané: 29.1.2018 16:26 ubuntu neupdatovalo bios, len zapisalo svoj bootloader do NVRAM, co je normalna vec, v sulade s UEFI specifikaciou, ale zabugovane thinkpady skapali. Odpovedať Známka: 8.3 Hodnotiť:

Re: Hmmmm Od: qwertyuiop1 | Pridané: 29.1.2018 17:29 A neboli to thinkpady, ale ideapady... no a tam sa nefunkcnost akosi aj ocakava. Odpovedať Známka: 6.9 Hodnotiť:

Re: Hmmmm Od: Erik_B | Pridané: 29.1.2018 22:48 Kurva budete ten linux, ktory mi odjebal BIOS, obhajovat? Boli to: Lenovo B40-70, B50-70, B50-80, Flex-3 Lenovo Flex-10, G40-30, G50-30, G50-70, G50-80, S20-30, U31-70, Y50-70, Y70-70, Yoga Thinkpad (20C0)Yoga 2 11" - 20332 Lenovo Yoga 3 11", Z50-70, Z51-70, ideapad 100-15IBY Acer Aspire E5-771G, Acer Aspire ES1-111M-C1LE,Acer TravelMate B113, Acer Swift SF314-52, Acer Aspire E3-111-C0UM Toshiba Satellite S55T-B5233, Toshiba Satellite L50-B-1R7, Toshiba Satellite S50-B-13G Dell Inspiron 15-3531 Mediacom Smartbook 14 Ultra M-SB14UC HP 14-r012la To su len tie, ktore uzivatelia nahlasili na buguntu forach!!! Odpovedať Známka: 0.0 Hodnotiť:

Re: Hmmmm Od: qwertyuiop1 | Pridané: 30.1.2018 0:53 Neodjebal ti bios, len ti nedovolil ukladat ziadne zmeny... a podakuj sa Intelu, bol to ich bug, v ich driveri pre lacne sunky. Odpovedať Známka: 5.6 Hodnotiť:

oooooo Od: oooooo | Pridané: 29.1.2018 16:47 a nvidia karty zas nic potom sa cudujem preco to seka aj na ploche ked ide vystup cez 1070. to nasere ale mozem dat kabel na dp na doske len sa mi to nechce odpajat a prepajat a tak to seka a ide to rychlo jak celeron z r. 1995. jebana nvidia. Odpovedať Známka: -6.7 Hodnotiť:

Re: oooooo Od: qwertyuiop1 | Pridané: 29.1.2018 17:24 Nainstaluj proprietarny driver od nvidie. Kym bude nvidia mlcat ako partizan, dovtedy budu mat ich produkty taku podporu aku maju. Odpovedať Známka: 5.0 Hodnotiť:

Re: oooooo Od: hhgyy | Pridané: 29.1.2018 18:14 pisal som skor o live verziach z kluca spustanych.. takze oni nechcu dat souce kody lebo im cvrka ze to amd okopci a budu v pici takato samo lakomost a samo jebnutost vladne v tych nvidia hlavickach to budu iste neaky paprdovkovia s plesinkou a lestia tu plesinku jak mr. proper a odlesky z tej plesinky slahaju az to oslepuje usudok ked sa zide 6ks v jednej miestnosti to bude ten problem tie odlesky co oslepuju lebo sa boja a cvrka a presakuje cez tu plienku :P Odpovedať Známka: -3.3 Hodnotiť:

Re: oooooo Od: ericek111 [PC] | Pridané: 30.1.2018 0:42 while(*comment_content++) iq--; Odpovedať Hodnotiť:

Pridať komentár