世界知名Linux開發者Greg Kroah-Hartman發出警告,Meltdown和Spectre CPU漏洞可能會對Linux開發者造成嚴重影響,并對英特爾封鎖消息、阻撓開發人員合作等進行了抨擊和批評。同時也告知開發人員應當如何處理這些漏洞的細節問題。
29日,在北美開源峰會上,世界著名Linux內核開發者Greg Kroah-Hartman對英特爾最初披露的Meltdown和Spectre CPU漏洞提出了質疑。
Kroah-Hartman是世界領先的Linux內核開發人員之一,負責維護穩定的Linux內核,并被Linux基金會聘用為研究員。
Kroah-Hartman
在他的演講中,Kroah-Hartman詳細介紹了Linux7種Meltdown和Spectre變體對內核開發人員的根本影響。
他說:“Jann Horn在2017年7月發現了第一個問題,但直到去年10月25日,一些內核社區的人才聽到有關該漏洞的傳言。 在很長一段時間里,我們只聽到的謠言是——因另一家知名操作系統供應商讓英特爾放下架子,才使得英特爾披露有關CPU的漏洞。”
英特爾欲蓋彌彰,卻無奈披露CPU漏洞
英特爾于1月3日首次公開承認了Meltdown和Spectre漏洞。
多位研究人員向英特爾報告了最初的研究,其中包括來自谷歌Project Zero項目的Horn。Kroah-Hartman說,當英特爾最終決定告訴Linux開發人員時,這個信息就被封鎖了。
通常情況下,當我們發現內核安全漏洞時,會把問題轉交到Linux內核安全團隊,而后我們會挑選合適的人員協助我們一起工作,最終推出補丁。
英特爾和SUSE之間存在隔閡,他們和Red Hat之間存在隔閡,也和Canonical存在隔閡。他們從未告知過Oracle,也不允許我們相互交談。
對于最初的一組漏洞,Kroah-Hartman說,不同的Linux供應商通常一起工作。然而,在這種情況下,他們最終選擇獨立工作,并各自提出不同的解決方案。
這真的行不通,我們許多內核開發人員對(英特爾)大聲懇求,終于在(2017年)12月的最后一周讓他們允許我們彼此之間可以展開交談。
我們所有的圣誕假期都被毀了。
這真的很糟糕。英特爾真心把這件事搞砸了。
Linux內核由各種組織開發和運行,并且有大型供應商支持的企業內核以及社區內核。Kroah-Hartman表示,世界上大多數人都沒有在企業支持的Linux內核上運行。 他指出,英特爾習慣于與公司合作,而且最初只與企業供應商合作來解決Meltdown和Spectre的問題。
世界上大多數人都使用Debian,或者運行自己的內核。
Debian不被允許披露這些漏洞,所以世界上大多數人都被他們搞得手足無措,這真不是件什么好事兒。
英特爾的反饋
Kroah-Hartman表示,據英特爾稱,在Linux內核開發人員于2017年12月和2018年1月向該公司表示不滿之后,它修復了其未來與Meltdown和Spectre相關的漏洞披露的流程。
最新變體的Meltdown和Spectre被稱為Foreshadow,并于8月14日公開披露,Kroah-Hartman表示Linux內核開發人員已提前得到通知,因此可以通過協作方式與Linux社區進行修復。
英特爾這次有點進步了。
有意思的是,Meltdown和Spectre漏洞產生了一個副作用,Linux和Windows開發人員目前正在合作,因為兩個操作系統都面臨著類似來自CPU漏洞的風險。
Windows和Linux內核開發人員現在有了這個很棒的反向通道(back channel)。我們在互相交談,我們在為對方修復bug。
我們合作得很好。我們一直想要這樣。
修補缺陷
根據Kroah-Hartman的說法,目前所有已被報告出來的Meltdown和Spectre漏洞在現代支持的Linux內核中都已經得到了修復。
然而,他警告說,并不是所有的修復都被移植到較老的Linux 4.4內核上,并建議用戶不要在運行該內核的系統上運行任何不受信任的代碼。
雖然Linux上有很多補丁,但他強烈建議用戶也使用英特爾的微代碼補丁進行更新,因為它們給予了操作系統所不能提供的額外保護。
Kroah-Hartman還警告說,因新的變體還有可能會出現,所以Meltdown和Spectre問題將會持續很長一段時間。
修復最初的Meltdown和Spectre變體需要內核開發人員付出很多心血,而Kroah-Hartman表示,他們正在努力開發更多的自動化修復程序。
未來10年里,我們不會再玩兒“打地鼠”的游戲了!
我們需要一種可靠的方法來自動發現錯誤,或者一個更新的編譯器來檢測易受攻擊的代碼模式并消除缺陷。
我們目前正在研究如何準確地檢測代碼中的Meltdown和Spectre類型的問題。
Kroah-Hartman認為:
安全一直是非常重要的事情。任何一個bug都可能會是一個安全漏洞。
-
英特爾
+關注
關注
61文章
9953瀏覽量
171700 -
cpu
+關注
關注
68文章
10855瀏覽量
211606
原文標題:【Linux大佬警告】英特爾CPU重大漏洞將嚴重影響開發者
文章出處:【微信號:AI_era,微信公眾號:新智元】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論