El Blog de Rigo El Blog de Rigo  

Kernel Linux 4.15 con parches para Meltdown y Spectre Disponible

El aburrimiento en el desarrollo del kernel es cosa buena, que diría Torvalds. Pero de eso hemos tenido poco en un Linux 4.15, que un par de semanas y unas cuantas versiones candidatas más tarde de lo esperado, vio ayer la luz.

El anuncio
Parte de la culpa de ese retraso, la tienen dos vulnerabilidades con nombre de villanos de DC Comics: Meltdown y Spectre. En palabras del patrón del Kernel:

This obviously was not a pleasant release cycle, with the whole meltdown/spectre thing coming in in the middle of the cycle and not really gelling with our normal release cycle.

Linux 4.15 ha introducido diversas mitigaciones importantes, pero de alguna manera tan solo es el comienzo de una batalla que continuara en próximas ediciones del kernel. Las cuales no tendrán tan solo en cuenta el asunto de la seguridad, sino recuperar la caída en el rendimiento del sistema, que han provocado los nuevos parches.

La lucha será más dura en el caso de Spectre, donde además del núcleo juegan otros factores como el contar con un compilador (GCC), que soporte el modelo de mitigación propuesto llamado retpoline.

El propio Linus nos muestra esta línea de código con la que entretenernos:

cat /sys/devices/system/cpu/vulnerabilities/spectre_v2

Si da este resultado estamos fastidiados, ya que no soportaría dichos parches:

Vulnerable: Minimal generic ASM retpoline

En mi caso la salida de la terminal muestra:

Mitigation: Full generic retpoline

que de alguna manera suena más tranquilizador.

Los números

Según comentan en LWN.net (datos de Linux 4.15 rc5), el número de cambios han superado los 14 000 con un crecimiento neto de 318 000 líneas de código , siendo de las publicaciones más completas en ese aspecto.

En cuanto a las compañías que más han liderado la contribución al kernel, por conjunto de cambios han sido: Intel (11.3%), AMD (10.7) y Red Hat(6.7%).

Seguidos de otras corporaciones como: Google, Linaro, IBM, Oracle, Renesas Electronics, Mellanox, Linux Foundation, ARM, SUSE, Broadcom, Huavei Technologies, Canonical, Samsung y Netronome Systems.

Intel también ha tenido el honor de liderar el número de broncas por parte de Linus Torvalds.

En cuanto a desarrolladores más activos, Kees Cook y Harry Wentland, mandan en las estadísticas.

Las novedades

En este caso, las novedades más destacadas del kernel, nos las proporcionan los amigos de KernelNewbies, referencia obligada en cada lanzamiento de Linux.

Son las siguientes:

  • Nuevos parches para Meltdown (separando las tablas de paginación de la memoria del núcleo de forma completa) que compensan –en parte– la perdida de rendimiento inicial y Spectre donde debuta un mecanismo llamado retpoline, que en caso necesario puede ser desactivado en el arranque.
  • El controlador gráfico de AMD (amdgpu), incluye mejor soporte de video y es compatible con atomic modesetting (una evolución del kernel mode-setting, a la hora de fijar la resolución y otras características de la pantalla, directamente desde el kernel, en lugar del espacio de usuario). Buenas noticias para las tarjetas gráficas AMD Vega10 y Raven.
  • La llamada al sistema mmap encargada de mapear los dispositivos y archivos en la memoria, cuenta con dos nuevas opciones, al implementar MAP_SYNC y MAP_SHARED_VALIDATE, como flags.
  • Se mejora la gestión de la energía y la duración de la batería, gracias a un nuevo parche que permite la ejecución del protocolo ALPM (Aggressive Link Power Management) diseñado para el estándar AHCI de Serial ATA, sin problemas de corrupción de datos.
  • Debuta RISC-V, una arquitectura abierta, diseñado para sistemas embebidos, móviles y computación en la nube.
  • Soporte para cifrado de memoria virtual en AMD. En Linux 4.14 se introdujo el cifrado del almacenamiento de memoria (DRAM) para procesadores AMD, que protege su contenido de ataques con acceso físico al sistema. Ahora se extiende esa memoria a los sistemas virtuales con AMD Secure Encrypted Virtualization.
  • Cgroups2 ya es capaz de controlar el consumo de CPU, a través de la jerarquía de procesos y tareas.
  • User-Mode Instruction Prevention: Se trata de una característica de seguridad para procesadores Intel de nueva generación, que una vez habilitada previene de ciertas instrucciones (SGDT, SIDT, SLDT, SMSW, STR) a partir de su actual nivel de privilegios, evitando la escalada de los mismos.

Comentar por ultimo, que la versión del kernel GNU Linux Libre también está disponible, para todos aquellos que prefieran un núcleo libre de blobs binarios y firmware privativo.

Fuente

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.