Tällä viikolla julkaistaan useita uusia Linux-ytimen vakaita julkaisuja, joissa on uusia lievennyksiä viimeisimmän julkaistun suorittimen suojaushaavoittuvuuksien ympärille. Linux 5.19.1, 5.18.17, 5.15.60, 5.10.136, 5.4.210 ja 4.19.255 ovat tänään julkaistut uudet versiot.
Näiden uusien Linux-ytimen julkaisujen huomattavimpia ovat eIBRS-PBRSB sen jälkeen, kun Intelin eIBRS-suorittimien havaittiin tarjoavan riittämättömiä suojauksia. Linux-ydin haavoittuvuuksien raportoinnin kautta ilmoittaa nyt, onko järjestelmä alttiina EIBRS Post-barrier Return Stack Buffer (PBRSB)-puskurille, toimiiko järjestelmä RSB-suojauksella VMEXIT:issä vai eikö se vaikuta järjestelmään. Ytimen muutos lisää LFENCE:n paluupinon puskurin (RSB) täyttösekvenssiin ja lisää RSB VMEXIT-suojauksia. Ytimen korjaustiedosto käsittelee kaikkia Intel eIBRS:ää käyttäviä suorittimia – mukaan lukien uusimman sukupolven Alder Lake ja Xeon Scalable Ice Lake – tarvitsevana PBRSB-käsittelyn Goldmont Plusia ja Tremontia lukuun ottamatta.
Ytimen päivityksestä:
tl;dr: Spectre v2:n tehostettu IBRS-vähennys ei toimi dokumentoidulla tavalla RET-ohjeissa VM:n lopettamisen jälkeen. Vähennä sitä uudella yhden sisääntulon RSB-täyttömekanismilla ja uudella LFENCE:llä.
Takaportoitu x86-tietoturvatyö koskee sitä eIBRS-PBRSB:tä, joka vaikuttaa uudempiin Intel-suorittimiin. AMD SQUIP-sivukanavahaavoittuvuuden ympärillä, joka myös paljastettiin tiistaina, ei tällä hetkellä ole tehty ytimen lieventämiseen liittyviä muutoksia.
Muut muutokset nykypäivän ytimen vakaisiin julkaisuihin ovat tavallinen virheenkorjaus. Hanki uudet vakaat ytimen lähteet osoitteesta kernel.org.