英特爾欲蓋彌彰，卻無奈披露CPU漏洞

世界知名Linux開發(fā)者Greg Kroah-Hartman發(fā)出警告，Meltdown和Spectre CPU漏洞可能會對Linux開發(fā)者造成嚴(yán)重影響，并對英特爾封鎖消息、阻撓開發(fā)人員合作等進(jìn)行了抨擊和批評。同時(shí)也告知開發(fā)人員應(yīng)當(dāng)如何處理這些漏洞的細(xì)節(jié)問題。

29日，在北美開源峰會上，世界著名Linux內(nèi)核開發(fā)者Greg Kroah-Hartman對英特爾最初披露的Meltdown和Spectre CPU漏洞提出了質(zhì)疑。

Kroah-Hartman是世界領(lǐng)先的Linux內(nèi)核開發(fā)人員之一，負(fù)責(zé)維護(hù)穩(wěn)定的Linux內(nèi)核，并被Linux基金會聘用為研究員。

Kroah-Hartman

在他的演講中，Kroah-Hartman詳細(xì)介紹了Linux7種Meltdown和Spectre變體對內(nèi)核開發(fā)人員的根本影響。

他說：“Jann Horn在2017年7月發(fā)現(xiàn)了第一個(gè)問題，但直到去年10月25日，一些內(nèi)核社區(qū)的人才聽到有關(guān)該漏洞的傳言。 在很長一段時(shí)間里，我們只聽到的謠言是——因另一家知名操作系統(tǒng)供應(yīng)商讓英特爾放下架子，才使得英特爾披露有關(guān)CPU的漏洞。”

英特爾欲蓋彌彰，卻無奈披露CPU漏洞

英特爾于1月3日首次公開承認(rèn)了Meltdown和Spectre漏洞。

多位研究人員向英特爾報(bào)告了最初的研究，其中包括來自谷歌Project Zero項(xiàng)目的Horn。Kroah-Hartman說，當(dāng)英特爾最終決定告訴Linux開發(fā)人員時(shí)，這個(gè)信息就被封鎖了。

通常情況下，當(dāng)我們發(fā)現(xiàn)內(nèi)核安全漏洞時(shí)，會把問題轉(zhuǎn)交到Linux內(nèi)核安全團(tuán)隊(duì)，而后我們會挑選合適的人員協(xié)助我們一起工作，最終推出補(bǔ)丁。

英特爾和SUSE之間存在隔閡，他們和Red Hat之間存在隔閡，也和Canonical存在隔閡。他們從未告知過Oracle，也不允許我們相互交談。

對于最初的一組漏洞，Kroah-Hartman說，不同的Linux供應(yīng)商通常一起工作。然而，在這種情況下，他們最終選擇獨(dú)立工作，并各自提出不同的解決方案。

這真的行不通，我們許多內(nèi)核開發(fā)人員對(英特爾)大聲懇求，終于在(2017年)12月的最后一周讓他們允許我們彼此之間可以展開交談。

我們所有的圣誕假期都被毀了。

這真的很糟糕。英特爾真心把這件事搞砸了。

Linux內(nèi)核由各種組織開發(fā)和運(yùn)行，并且有大型供應(yīng)商支持的企業(yè)內(nèi)核以及社區(qū)內(nèi)核。Kroah-Hartman表示，世界上大多數(shù)人都沒有在企業(yè)支持的Linux內(nèi)核上運(yùn)行。 他指出，英特爾習(xí)慣于與公司合作，而且最初只與企業(yè)供應(yīng)商合作來解決Meltdown和Spectre的問題。

世界上大多數(shù)人都使用Debian，或者運(yùn)行自己的內(nèi)核。

Debian不被允許披露這些漏洞，所以世界上大多數(shù)人都被他們搞得手足無措，這真不是件什么好事兒。

英特爾的反饋

Kroah-Hartman表示，據(jù)英特爾稱，在Linux內(nèi)核開發(fā)人員于2017年12月和2018年1月向該公司表示不滿之后，它修復(fù)了其未來與Meltdown和Spectre相關(guān)的漏洞披露的流程。

最新變體的Meltdown和Spectre被稱為Foreshadow，并于8月14日公開披露，Kroah-Hartman表示Linux內(nèi)核開發(fā)人員已提前得到通知，因此可以通過協(xié)作方式與Linux社區(qū)進(jìn)行修復(fù)。

英特爾這次有點(diǎn)進(jìn)步了。

有意思的是，Meltdown和Spectre漏洞產(chǎn)生了一個(gè)副作用，Linux和Windows開發(fā)人員目前正在合作，因?yàn)閮蓚€(gè)操作系統(tǒng)都面臨著類似來自CPU漏洞的風(fēng)險(xiǎn)。

Windows和Linux內(nèi)核開發(fā)人員現(xiàn)在有了這個(gè)很棒的反向通道（back channel）。我們在互相交談，我們在為對方修復(fù)bug。

我們合作得很好。我們一直想要這樣。

修補(bǔ)缺陷

根據(jù)Kroah-Hartman的說法，目前所有已被報(bào)告出來的Meltdown和Spectre漏洞在現(xiàn)代支持的Linux內(nèi)核中都已經(jīng)得到了修復(fù)。

然而，他警告說，并不是所有的修復(fù)都被移植到較老的Linux 4.4內(nèi)核上，并建議用戶不要在運(yùn)行該內(nèi)核的系統(tǒng)上運(yùn)行任何不受信任的代碼。

雖然Linux上有很多補(bǔ)丁，但他強(qiáng)烈建議用戶也使用英特爾的微代碼補(bǔ)丁進(jìn)行更新，因?yàn)樗鼈兘o予了操作系統(tǒng)所不能提供的額外保護(hù)。

Kroah-Hartman還警告說，因新的變體還有可能會出現(xiàn)，所以Meltdown和Spectre問題將會持續(xù)很長一段時(shí)間。

修復(fù)最初的Meltdown和Spectre變體需要內(nèi)核開發(fā)人員付出很多心血，而Kroah-Hartman表示，他們正在努力開發(fā)更多的自動化修復(fù)程序。

未來10年里，我們不會再玩兒“打地鼠”的游戲了！

我們需要一種可靠的方法來自動發(fā)現(xiàn)錯(cuò)誤，或者一個(gè)更新的編譯器來檢測易受攻擊的代碼模式并消除缺陷。

我們目前正在研究如何準(zhǔn)確地檢測代碼中的Meltdown和Spectre類型的問題。

Kroah-Hartman認(rèn)為：

安全一直是非常重要的事情。任何一個(gè)bug都可能會是一個(gè)安全漏洞。