Det er nu blevet bekræftet, at Spectre-lignende malware er blusset op igen, og det har bevirket, at lanceringsdatoen for den næste iteration af Linux er rykket mindst en uge længere ud i fremtiden.
I 5.17-rc8-bekendtgørelsen forklarede kerneudviklingschefen Linus Torvalds, at de havde fundet CVE-2021-26341 - en sikkerhedsrisiko i nogle AMD-processorer, der ligner den frygtede Spectre/Meltdown-fiasko, og det betød, at teamet skulle foretage visse programrettelser, som har skabt komplikationer for 5.17-versionen af operativsystemet.
"Sidste weekend troede jeg, at jeg ville udgive den sidste 5.17 i dag. Men det var dengang, og nu står vi så her,” skriver han.
En byge af rettelser
"Sidste uge var noget rodet, mest på grund af nogle embargo-rettelser, som lå i venteposition med en anden variant af specter-angreb. Og selvom rettelserne for så vidt var fine, havde vi det sædvanlige "fordi det var skjult, kunne vores normale testautomatisering heller ikke se det".
Når først automatisering finder noget, bliver alle mulige og umulige kombinationer testet, hvilket resulterer i en (lille) byge af rettelser til rettelserne."
Trods de uforudsete omstændigheder overvejede Torvalds stadig at udgive 5.17, men endte med at ombestemme sig.
"Som et resultat har vi en -rc8-lancering i dag i stedet for den endelige 5.17," konkluderede han.
> Sådan opretter du din egen database i Linux
> Torvalds indrømmer, at han er en smule bekymret for den næste Linux-build (artiklen er på Engelsk)
> Bedste Linux distros til privatliv og sikkerhed (artiklen er på Engelsk)
I detaljer om fejlen sagde AMD, at chipsene "midlertidigt er i stand til at udføre instruktioner efter en ubetinget direkte gren, der kan resultere i sporbar cache-aktivitet."
CVE blev vurderet til 4,7/10 på risikoskalaen, og indtil videre har der ikke været rapporteringer om gennemførte angreb. Men da problemet findes i 14 klient-CPU'er og i både førstegenerations- og andengenerations EPYC-silicium til servere, er det vigtigt ikke at se igennem fingre med den.
Torvalds opfordrede også udviklerne til ikke at stole udelukkende på automatiserede redskaber, men også selv grave i arbejdet.
"Lad os ikke bare nøjes med automatiserede tests," foreslog han i sin ugentlige opdatering. "Jo flere desto bedre, og virkeligt arbejde er altid mere interessante end det automatiserede. Så giv endelig denne sidste lanceringskandidat et hurtigt forsøg," tilføjede han.
Via: The Register (Åbner i nyt vindue)