Linux 5.17 forsinkes, efter en sikkerhedsrisiko blev opdaget i AMD-processorer

Linux penguin-logo på træ-baggund.
(Foto: Pixabay)

Det er nu blevet bekræftet, at Spectre-lignende malware er blusset op igen, og det har bevirket, at lanceringsdatoen for den næste iteration af Linux er rykket mindst en uge længere ud i fremtiden.

I 5.17-rc8-bekendtgørelsen forklarede kerneudviklingschefen Linus Torvalds, at de havde fundet CVE-2021-26341 - en sikkerhedsrisiko i nogle AMD-processorer, der ligner den frygtede Spectre/Meltdown-fiasko, og det betød, at teamet skulle foretage visse programrettelser, som har skabt komplikationer for 5.17-versionen af operativsystemet. 

"Sidste weekend troede jeg, at jeg ville udgive den sidste 5.17 i dag. Men det var dengang, og nu står vi så her,” skriver han.

 En byge af rettelser

"Sidste uge var noget rodet, mest på grund af nogle embargo-rettelser, som lå i venteposition med en anden variant af specter-angreb. Og selvom rettelserne for så vidt var fine, havde vi det sædvanlige "fordi det var skjult, kunne vores normale testautomatisering heller ikke se det". 

Når først automatisering finder noget, bliver alle mulige og umulige kombinationer testet, hvilket resulterer i en (lille) byge af rettelser til rettelserne."

Trods de uforudsete omstændigheder overvejede Torvalds stadig at udgive 5.17, men endte med at ombestemme sig. 

"Som et resultat har vi en -rc8-lancering i dag i stedet for den endelige 5.17," konkluderede han.

I detaljer om fejlen sagde AMD, at chipsene "midlertidigt er i stand til at udføre instruktioner efter en ubetinget direkte gren, der kan resultere i sporbar cache-aktivitet." 

CVE blev vurderet til 4,7/10 på risikoskalaen, og indtil videre har der ikke været rapporteringer om gennemførte angreb. Men da problemet findes i 14 klient-CPU'er og i både førstegenerations- og andengenerations EPYC-silicium til servere, er det vigtigt ikke at se igennem fingre med den. 

Torvalds opfordrede også udviklerne til ikke at stole udelukkende på automatiserede redskaber, men også selv grave i arbejdet. 

"Lad os ikke bare nøjes med automatiserede tests," foreslog han i sin ugentlige opdatering. "Jo flere desto bedre, og virkeligt arbejde er altid mere interessante end det automatiserede. Så giv endelig denne sidste lanceringskandidat et hurtigt forsøg," tilføjede han.

Via: The Register

TOPICS

Vivi har flere års erfaring inden for en bred vifte af emner og arbejdet for højt profilerede virksomheder i bl.a. tech-branchen med fokus på nyheder, anmeldelser, guides og idéer til problemløsninger. Hun elsker at være i stand til at hjælpe folk med at finde måder og produkter, der gør livet lidt lettere i hverdagen. Vivi har arbejdet det meste af sit liv i musik- og underholdningsbranchen. Hun har stor passion for alt, hvad der har med musik og film at gøre, og streaming ligger højt på listen over hendes interesser.

Med bidrag fra