Грег Кроа-Хартман раскритиковал поведение Intel при исправлении уязвимостей Meltdown и Spectre
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за раздел "staging" в ядре Linux, в своем выступлении на конференции Open Source Summit North America раскритиковал действия компании Intel по координации устранения уязвимостей Meltdown и Spectre до публичного раскрытия информации о данных проблемах.
Intel был информирован о проблемах Meltdown и Spectre еще в июле 2017 года, но до 25 октября ведущие разработчики ядра Linux знали о проблемах лишь на уровне слухов. Возможно разработчики не получили бы информацию и в дальнейшем, но один из влиятельных поставщиков операционных систем настоял в Intel на раскрытии информации и для разработчиков ядра.
Обычно устранение опасных уязвимостей в ядре производится сообща с привлечением команды Linux kernel security team и при участии мэйнтейнеров ядра из дистрибутивов. Но в случае с Meltdown и Spectre все было перевернуто с ног на голову и Intel в индивидуальном порядке информировал SUSE, Red Hat и Canonical на условиях соглашения о неразглашении. Информированным производителям дистрибутивов были поставлены условия, запрещающие взаимодействие между собой, и каждому дистрибутиву пришлось создавать собственные исправления.
В конце концов компанию Intel удалось убедить в необходимости выработки общего для всех решения и Intel согласился провести совместную встречу, но разрешил сделать это только за считанные дни до планируемого раскрытия сведений. Таким образом, пик работы над исправлением пришелся на последнюю неделю 2017 года, что обеспечило вовлеченным в процесс исправления разработчикам незабываемое авральное Рождество и Новый год.
Многие производители и проекты не были информированы о проблемах, в том числе информация не была предоставлена компании Oracle и проекту Debian. Так как Debian является одним из самых популярных дистрибутивов Linux, в момент публичного раскрытия данных об уязвимостях большая часть пользователей Linux оказались совершенно не защищена.
В последующем, компания Intel учла замечания по процессу раскрытия сведений и координируя исправление августовской уязвимости Foreshadow заранее предупредила о проблеме разработчиков ядра Linux и дала возможность коллегиально подготовить исправление. Более того, работа над уязвимостями Meltdown и Spectre позволило наладить сотрудничество с разработчиками ядра Windows и организовать обмен информацией о возникающих проблемах и развиваемых методах исправления уязвимостей, не привязанных к конкретной операционной системе.
По словам Грега Кроа-Хартмана в настоящее время в свежих выпусках ядра Linux присутствует защита от всех известных уязвимостей класса Meltdown и Spectre. При этом, пока не все исправления перенесены в старую, но еще поддерживаемую, ветку 4.4. Несмотря на наличие защиты на уровне ядра, пользователям рекомендовано установить и обновление микрокода Intel, в котором представлены новые возможности, позволяющие задействовать дополнительные уровни защиты, которые могут оказаться полезными для блокирования еще неизвестных уязвимостей класса Spectre.
По мнению Грега новые варианты Spectre будут всплывать еще многие годы и для их блокирования предстоит большая работа по созданию систем для автоматического выявления типовых шаблонов в коде, которые могут вызывать проявление подобных уязвимостей. Данные механизмы выявления ошибок также могут быть включены в состав компиляторов для обнаружения и исключения опасных сочетаний инструкций на этапе сборки.
