|
|
|
|
挪动端

Gerg:关于Meltdown和Spectre影响下的通博8888官网内核情况

假如你的 通博8888官网 零碎正在运转一个正常的 通博8888官网 刊行版,那么晋级你的内核。它们都应该曾经更新了,然后在接上去的几个星期里坚持更新。我们会统计少量在极度状况下呈现的 bug ,这里触及的测试很庞大,包罗巨大的受影响的林林总总的零碎和任务义务。

作者:Greg Kroah-hartman泉源:通博8888官网中国|2018-02-10 07:05

人工智能+区块链的开展趋向及使用调研陈诉


Gerg:Meltdown和Spectre影响下的通博8888官网内核情况

如今(LCTT 译注:本文宣布于 1 月初),每团体都晓得一件关乎电脑平安的“大事”发作了,真见鬼,等逐日邮报报道的时分,你就晓得什么是蹩脚了...

不论怎样,除了通知你这篇写的及其精彩的表露该题目的 Zero 项目标论文之外,我不计划去跟进这个题目曾经被报道出来的细节。他们应该如今就间接公布 2018 年的 Pwnie 奖,干的太棒了。

假如你想理解我们怎样在内核中处理这些题目的技能细节,你可以坚持存眷了不得的 lwn.net,他们会把这些细节写成文章。

别的,这有一条很好的关于这些通告的择要,包罗了各个厂商的通告。

至于这些触及的公司是怎样处置这些题目的,这可以说是怎样与 通博8888官网 内核社区坚持相同的教科书般的例子。这件事触及到的人和公司都晓得发作了什么,我确定这件事终极会呈现,但是现在我需求去存眷的是怎样修复这些触及到的题目,然后不去点名责备,不论我有何等的想去这么做。

你如今能做什么

假如你的 通博8888官网 零碎正在运转一个正常的 通博8888官网 刊行版,那么晋级你的内核。它们都应该曾经更新了,然后在接上去的几个星期里坚持更新。我们会统计少量在极度状况下呈现的 bug ,这里触及的测试很庞大,包罗巨大的受影响的林林总总的零碎和任务义务。假如你的 通博8888官网 刊行版没有晋级内核,我激烈的发起你立刻改换一个 通博8888官网 刊行版。

但是有许多的零碎由于林林总总的缘由(听说它们比起“传统”的企业刊行版更多)不是在运转“正常的” 通博8888官网 刊行版上。它们依托临时支持版本(LTS)的内核晋级,或许是正常的波动内核晋级,或许是外部的或人打造版本的内核。关于这局部人,这篇引见了你能运用的下游内核中发作的杂乱是怎样回事。

Meltdown – x86

如今,Linus 的内核树包括了我们以后所知的为 x86 架构处理 meltdown 破绽的一切修复。开启 CONFIG_PAGE_TABLE_ISOLATION 这个内核构建选项,然落伍行重谈判重启,一切的设置装备摆设应该就平安了。

但是,Linus 的内核树以后处于 4.15-rc6 这个版本加上一些未完成的补丁。4.15-rc7 版本要今天才会推出,外面的一些补丁会处理一些题目。但是大局部的人不会在一个“正常”的情况里运转 -rc 内核。

由于这个缘由,x86 内核开辟者在页表断绝page table isolation代码的开辟进程中做了一个十分好的任务,好到要反向移植到最新推出的波动内核 4.14 的话,我们只需求做一些微乎其微的任务。这意味着最新的 4.14 版本(本文宣布时是 4.14.12 版本),便是你应该运转的版本。4.14.13 会在接上去的几天里推出,这个更新里有一些额定的修复补丁,这些补丁是一些运转 4.14.12 内核且有启动工夫题目的零碎所需求的(这是一个不言而喻的题目,假如它不启动,就把这些补丁参加更新列队中)。

我团体要感激 Andy Lutomirski、Thomas Gleixner、Ingo Molnar、 Borislav Petkov、 Dave Hansen、 Peter Zijlstra、 Josh Poimboeuf、 Juergen Gross 和 Linus Torvalds。他们开辟出了这些修复补丁,而且为了让我能轻松地使波动版天性够正常任务,还把这些补丁以一种方式交融到了下游分支里。没有这些任务,我乃至不敢想会发作什么。

关于老的临时支持内核(LTS),我次要依托 Hugh Dickins、 Dave Hansen、 Jiri Kosina 和 Borislav Petkov 良好的任务,来为 4.4 到 4.9 的波动内核代码树分支带去相反的功用。我异样在追踪厌恶的 bug 和缺失的补丁方面从 Guenter Roeck、 Kees Cook、 Jamie Iles 以及其他许多人那边失掉了极大的协助。我要感激 David Woodhouse、 Eduardo Valentin、 Laura Abbott 和 Rik van Riel 在反向移植和集成方面的协助,他们的协助在很多顺手的中央是必不行少的。

这些临时支持版本的内核异样有 CONFIG_PAGE_TABLE_ISOLATION 这个内核构建选项,你应该开启它来取得全方面的维护。

从主线版本 4.14 和 4.15 的反向移植黑白常纷歧样的,它们会呈现差别的 bug,我们如今晓得了一些在任务中遇见的 VDSO 题目。一些特别的假造机装置的时分会报一些奇异的错,但这是只是如今呈现的多数状况,这种状况不该该制止你停止晋级。假如你在这些版本中遇到了题目,请让我们在波动内核邮件列表中晓得这件事。

假如你依赖于 4.4 和 4.9 或是如今的 4.14 以外的内核代码树分支,而且没有刊行版支持你的话,你就太不幸了。比起你以后版本内核包括的上百个已知的破绽和 bug,短少补丁去处理 meltdown 题目算是一个小题目了。你如今最需求思索的便是立刻把你的零碎晋级到最新。

与此同时,臭骂那些逼迫你运转一个已被废弃且不平安的内核版本的人,他们是那些需求晓得这是完全掉臂结果的举动的人中的一份子。

Meltdown – ARM64

如今 ARM64 为处理 Meltdown 题目而开辟的补丁还没有并入 Linus 的代码树,一旦 4.15 在接上去的几周里乐成公布,他们就预备阶段式地并入 4.16-rc1,由于这些补丁还没有在一个 Linus 公布的内核中,我不克不及把它们反向移植进一个波动的内核版本里(额……我们有这个端正是有缘由的)

由于它们还没有在一个已公布的内核版本中,假如你的零碎是用的 ARM64 的芯片(比方 Android ),我发起你选择 Android 大众内核代码树,如今,一切的 ARM64 补丁都并入 3.184.44.9 分支 中。

我激烈发起你存眷这些分支,看随着工夫的过来,由于测试了已并入补丁的已公布的下游内核版本,会不会有更多的修复补丁被增补出去,特殊是我不晓得这些补丁会在什么时分加进波动的临时支持内核版本里。

关于 4.4 到 4.9 的临时支持内核版本,这些补丁有很大约率永久不会并入它们,由于需求少量的先决补丁。而一切的这些先决补丁临时以来都不断在 Android 大众内核版本中测试和兼并,以是我以为如今关于 ARM 零碎来说,仅仅依赖这些内核分支而不是临时支持版本是一个更好的主见。

异样需求留意的是,我兼并一切的临时支持内核版本的更新到这些分支后通常会在一天之内或许这个工夫点左右停止公布,以是你无论怎样都要存眷这些分支,来确保你的 ARM 零碎是最新且平安的。

Spectre

如今,事变变得“风趣”了……

再一次,假如你正在运转一个刊行版的内核,一些内核融入了林林总总的宣称能缓解现在大局部题目的补丁,你的内核能够就被包括在此中。假如你担忧这一类的打击的话,我发起你更新并测试看看。

关于下游来说,很好,近况便是依然没有任何的下游代码树分支兼并了这些范例的题目相干的修复补丁。有许多的邮件列表在讨论怎样去处理这些题目的处理方案,少量的补丁在这些邮件列表中广为传播,但是它们尚处于开辟后期,一些补丁系列乃至没有被构建或许使用就任何已知的代码树,这些补丁系列相互之间互相抵触,这是罕见的杂乱。

这是由于 Spectre 题目是近来被内核开辟者处理的。我们一切人都在 Meltdown 题目上任务,我们没有准确的 Spectre 题目全部的真实信息,而到处散乱的补丁乃至比地下公布的补丁还要蹩脚。

由于一切的这些缘由,我们计划在内核社区里花上几个星期去处理这些题目并把它们兼并到下游去。修复补丁会进入到一切内核的林林总总的子零碎中,并且在它们被兼并后,汇集成并在波动内核的更新中公布,以是再次提示,无论你运用的是刊行版的内核照旧临时支持的波动内核版本,你最好并坚持更新到最新版。

这不是好音讯,我晓得,但是这便是理想。假如有所抚慰的话,好像没有任何别的的操纵零碎完全地处理了这些题目,如今整个财产都在统一条船上,我们只需求等候,并让开辟者尽快地处理这些题目。

提出的处理方案并非绝不紧张,但是它们中的一些照旧十分好的。一些新观点会被发明出来来协助处理这些题目,Paul Turner 提出的 Retpoline 办法便是此中的一个例子。这将是将来少量研讨的一个范畴,想出办法去加重硬件中触及的潜伏题目,盼望在它发作前就去预见它。

其他架构的芯片

如今,我没有瞥见任何 x86 和 arm64 架构以外的芯片架构的补丁,听说在一些企业刊行版中有一些用于其他范例的处置器的补丁,盼望他们在这几周里能浮出水面,兼并到适宜的下游那边。我不晓得什么时分会发作,假如你运用着一个特别的架构,我发起在 arch-specific 邮件列表上问这件事来失掉一个间接的答复。

结论

再次说一遍,更新你的内核,不要耽误,不要止步。更新会在很长的一段工夫里继续地处理这些题目。异样的,波动和临时支持内核刊行版里依然有许多别的的 bug 和平安题目,它们和题目的范例有关,以是不断坚持更新一直是一个好主见。

如今,有许多十分劳累、坏性情、短少就寝的人,他们通常会生机地让内核开辟职员养精蓄锐地处理这些题目,即便这些题目完全不是开辟职员本人形成的。请关爱这些不幸的顺序猿。他们需求爱、支持,我们可以为他们收费提供的他们最爱的饮料,以此来确保我们都可以尽能够快地完毕修补零碎。

【编辑引荐】

  1. 通博8888官网终端下的多媒体使用
  2. 2018最佳通博8888官网刊行版排行榜
  3. 通博8888官网与Unix之差别在哪?
  4. 【理论】怎样定制嵌入式通博8888官网刊行版
  5. 神不知鬼不晓,运用Shell剧本掩饰笼罩通博8888官网效劳器上的操纵陈迹
【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
各人都在看
猜你喜好

读 书 +更多

UNIX到通博8888官网的移植

本书报告怎样把UNIX情况下的使用顺序移植到通博8888官网情况上运转,是一本综合的开辟息争决题目的参考手册 。本书细致描绘了以后IT行业中被普遍应...

订阅51CTO邮刊

点击这里检查样刊

订阅51CTO邮刊