- 19,507
- 40
- 8 Ноя 2022
Теперь можно просто написать mitigations=no_guest_host и спать спокойно.
В ядре Linux 6.17 появилась новая система управления уязвимостями процессоров — <em>Attack Vector Controls</em>, разработанная инженером AMD Дэвидом Капланом. Обновление направлено на упрощение выбора и настройки защит от уязвимостей CPU для системных администраторов и опытных пользователей Linux.
Ранее администраторы были вынуждены включать или отключать каждую защиту вручную, разбираясь в десятках патчей, связанных со спекулятивным выполнением кода. Новая схема позволяет управлять ими централизованно, распределяя уязвимости по категориям, соответствующим типу атакующего и цели атаки.
Система делит векторы атак на пять групп:
Кроме того, в Linux 6.17 были переработаны и упрощены некоторые существующие механизмы защиты. В частности, защита от <em>Speculative Return Stack Overflow</em> (SRSO) стала менее запутанной, а защита <em>Retbleed</em> теперь отделена от ITS stuffing — особого механизма для Intel-процессоров. Это позволило включать ITS отдельно от Retbleed, что даёт большую гибкость.
Слияние патчей в ветку Для просмотра ссылки Войдиили Зарегистрируйся состоялось на прошлой неделе. Ознакомиться с официальной документацией по Attack Vector Controls можно Для просмотра ссылки Войди или Зарегистрируйся .
Новая система должна упростить администрирование систем, повысить защищённость там, где это критично, и вернуть производительность в ситуациях, когда определённые классы атак неактуальны.
В ядре Linux 6.17 появилась новая система управления уязвимостями процессоров — <em>Attack Vector Controls</em>, разработанная инженером AMD Дэвидом Капланом. Обновление направлено на упрощение выбора и настройки защит от уязвимостей CPU для системных администраторов и опытных пользователей Linux.
Ранее администраторы были вынуждены включать или отключать каждую защиту вручную, разбираясь в десятках патчей, связанных со спекулятивным выполнением кода. Новая схема позволяет управлять ими централизованно, распределяя уязвимости по категориям, соответствующим типу атакующего и цели атаки.
Система делит векторы атак на пять групп:
- user-to-kernel — атаки из пользовательского пространства в ядро;
- user-to-user — между пользовательскими процессами;
- guest-to-host — из гостевой системы в хост;
- guest-to-guest — между виртуальными машинами;
- cross-thread — между потоками.
Кроме того, в Linux 6.17 были переработаны и упрощены некоторые существующие механизмы защиты. В частности, защита от <em>Speculative Return Stack Overflow</em> (SRSO) стала менее запутанной, а защита <em>Retbleed</em> теперь отделена от ITS stuffing — особого механизма для Intel-процессоров. Это позволило включать ITS отдельно от Retbleed, что даёт большую гибкость.
Слияние патчей в ветку Для просмотра ссылки Войди
Новая система должна упростить администрирование систем, повысить защищённость там, где это критично, и вернуть производительность в ситуациях, когда определённые классы атак неактуальны.
- Источник новости
- www.securitylab.ru
