Enquanto CPU normalmente grande o trabalho de mitigação de segurança feito a portas fechadas está em boa forma para a data do embargo de vulnerabilidades, Retbleed foi uma exceção. Quase duas semanas desde que o Retbleed foi tornado público, os patches do kernel Linux em torno dele continuam com mais agora enviados hoje antes do Linux 5.19-rc8 para resolver as consequências do tratamento de mitigação.
Os patches do Retbleed desta vez foram um pouco difíceis com uma série de problemas que não vieram à tona até que esse ataque de execução especulativa se tornasse público e os patches fossem mesclados ao kernel do Linux. Depois que os patches do Retbleed chegaram ao kernel do Linux no Patch Tuesday, a integração contínua (CI) do kernel do Linux e os farms de compilação em várias organizações começaram a identificar casos de canto e diferentes problemas de compilação/tempo de execução do código mitigado. Esses problemas surgiram graças aos farms de compilação e mais desenvolvedores se conscientizando e podendo analisar esses patches do kernel.
Houve correções de acompanhamento que vieram para resolver vários problemas com o código Retbleed e agora hoje outra rodada de consequências do Retbleed está sendo curada para o Linux 5.19-rc8. Quase duas semanas depois, as mitigações do Retbleed ainda não apareceram na série estável do Linux como back-ports devido a vários problemas que surgiram. Mas com as correções do Retbleed diminuindo, parece que a mitigação e todas as correções serão lançadas em breve na série estável/LTS atualmente suportada.
Esta manhã com o x86/urgent para v5.19-rc8, Borislav Petkov enviou uma mensagem para Linus Torvalds com:
Por favor, puxe mais algumas correções de fallout rebleed.
Parece que a urgência deles está diminuindo, então parece que conseguimos pegar qualquer confusão que o teste-rc limitado expôs. Talvez estejamos nos preparando…:)
Existem correções para evitar correções de retorno de módulos LKDTM que não são necessários lá, evitando a escrita do SPEC_CTRL MSR em cada entrada do kernel em partes eIBRS, saída de erro aprimorada, protegendo chamadas de firmware EFI emitindo um IBPB em CPUs AMD e limitando a mitigação Retbleed explicitamente a kernels x86_64. Conforme observado ontem, a mitigação do Retbleed não funciona em kernels x86 de 32 bits e não há interesse dos principais desenvolvedores upstream em trabalhar nesse suporte. Essas são apenas correções de funcionalidade e ainda há um impacto considerável do Retbleed nos modelos de CPU afetados.
Essas correções do Retbleed e várias outras correções farão parte do kernel Linux 5.19-rc8 que será lançado ainda hoje. O Linux 5.19 estável é esperado no próximo fim de semana.
