Linux 5.16 allenta i valori predefiniti di Spectre intorno a SSBD/STIBP

Published by IT Info on

Linux 5.16 sta adeguando il suo comportamento predefinito di mitigazione di Spectre attorno a Spectre V2 per le attività dello spazio utente e Speculative Store Bypass Disable (SSBD) per la mitigazione di Spectre V4.

Piuttosto che il comportamento predefinito esistente di applicare le mitigazioni per impostazione predefinita a tutti i thread SECCOMP e coloro che optano per tali mitigazioni per thread tramite l’interfaccia prctl() del kernel Linux, con Linux 5.16 l’impostazione predefinita viene riportata solo al prctl () comportamento opt-in. Questo cambiamento è stato discusso nell’ultimo anno e precedentemente trattato all’interno di Linux Preparandosi a allentare leggermente i suoi valori predefiniti di spettro.

La rimozione delle mitigazioni per impostazione predefinita per i processi SECCOMP viene eseguita per evitare un falso senso di sicurezza, in particolare nei casi di SMT/HT attivo. Attraverso altre vulnerabilità di esecuzione speculativa e le loro mitigazioni e altre modifiche al software di sistema negli ultimi tre anni hanno portato alla rivalutazione dell’attuale default con la decisione di non coprire l’applicazione di SSBD/STIBP per impostazione predefinita a tutti i processi SECCOMP.

Questo messaggio di patch descrive il motivo di questa modifica predefinita in modo più dettagliato.

L’impostazione definitiva di SSBD e STIBP per impostazione predefinita per tutte le jail seccomp è un brutto punto debole e una cattiva impostazione predefinita con più svantaggi rispetto ai professionisti che finiscono per ridurre la sicurezza nel cloud pubblico (dando un enorme incentivo a non esporre SPEC_CTRL che sarebbe necessario per ottenere la piena sicurezza con IBPB dopo aver impostato nosmt nel guest) e danneggiando eccessivamente le prestazioni di app più sicure usando seccomp che finiscono per dover rinunciare con SECCOMP_FILTER_FLAG_SPEC_ALLOW.

Quelli che vogliono per mantenere l’impostazione predefinita precedente, è ancora possibile farlo tramite le opzioni del kernel Spectre e sysfs.

Questa modifica predefinita è stata inviata tramite questa richiesta pull per Linux 5.16.

Categories: IT Info
Tags:

Related Posts

IT Info

YouTube sta testando più miniature per i creatori di contenuti

YouTube di proprietà di Google sta testando una nuova funzione per i creatori di contenuti che consente loro di caricare e selezionare tra più miniature da aggiungere ai video, Rapporti Android Police. La modifica ha Read more…

IT Info

WhatsApp ti consentirà di scegliere per quanto tempo le chat bloccate rimangono attive

WhatsApp ha sempre qualche nuova funzionalità su cui sta lavorando, quindi i suoi beta tester hanno sempre qualcosa su cui affondare i denti. Secondo un rapporto di WABInfo (tramite Sam Mobile), WhatsApp ti consentirà di Read more…

IT Info

L’Assistente Google torna sugli smartwatch Fossil, Skagen Gen 6

Quando Google ha rilasciato l’aggiornamento Wear OS 3, ha rimosso la funzione Google Assistant da tutti gli smartwatch lasciando solo Pixel Watch (naturalmente) e i modelli Samsung Galaxy Watch più recenti per avere a disposizione Read more…