Entro la fine dell’anno, il ciclo del kernel Linux 6.12 vedrà l’introduzione di una serie di nuove opzioni Kconfig. per un maggiore controllo in fase di compilazione su quali mitigazioni di sicurezza dell’esecuzione speculativa della CPU sono incluse come parte della compilazione del kernel. La scorsa settimana, in coda nel ramo “x86/bugs” di tip/tip.git, è stata aggiunta una serie di nuove opzioni Kconfig. Queste erano dedicate al controllo delle singole mitigazioni di sicurezza della CPU in fase di compilazione.
Lo sviluppatore di Debian, Breno Leitao, ha spiegato lo sforzo nella serie di patch: “L’attuale namespace CONFIG_SPECULATION_MITIGATIONS è solo parzialmente popolato, dove alcune mitigazioni hanno voci in Kconfig e possono essere modificate. Altre mitigazioni non hanno voci in Kconfig e non possono essere controllate al momento della compilazione. Le nuove mitigazioni, come BHI, sono state correttamente aggiunte, ovvero, avendo un Kconfig indipendente. Questa dipende da CONFIG_SPECULATION_MITIGATIONS, così è possibile abilitarle/disabilitarle al momento della compilazione. Il set di patch mira a rendere le vecchie mitigazioni nello stesso formato, portando una certa uniformità alle mitigazioni”.
Linux 6.12: i vantaggi del controllo granulare delle mitigazioni
Come ricordato ancora dallo sviluppatore, il controllo delle mitigazioni ha una serie di vantaggi. In primis, gli utenti possono scegliere solo le mitigazioni importanti per i loro carichi di lavoro. Inoltre, gli utenti e gli sviluppatori possono scegliere di disabilitare le mitigazioni che alterano la generazione del codice assembly, rendendolo difficile da leggere. Infine, Kconfigs separati garantiscono per una migliore leggibilità del codice sorgente. Leitao ha infine dichiarato che, nella maggior parte dei casi, se una mitigazione è disabilitata al momento della compilazione, può comunque essere abilitata in fase di runtime utilizzando gli argomenti della linea di comando del kernel.
Infine, bisogna citare anche le misure di sicurezza della CPU che ora prevedono parametri sintonizzabili dedicati tramite Kconfig per il controllo in fase di compilazione. Queste includono MDS, TAA, MMIO Stale Data, L1TF, Retbleed, Spectre V1, Spectre V2, SRBDS, SSD e GDS. Queste patch sono state inserite in un ramo TIP (x86/bug). Si prevede quindi che queste nuove opzioni saranno inviate per la finestra di unione di Linux 6.12 che si aprirà a settembre dopo il debutto della versione 6.11. La versione stabile dovrebbe invece essere rilasciata verso la fine dell’anno.
Ti potrebbe interessare
6 ago 2024