Oppblomstringen av Spectre-aktige angrep har ført til at lanseringsdatoen til neste versjon av Linux blir utsatt med nærmere én uke, bekrefter skaperen av operativsystemet.
I annonseringen av 5.17-rc8 forklarer sjef for oppdateringen av kjernen, Linus Torvalds, at oppdagelsen av CVE-2021-26341, en sårbarhet i enkelte AMD-prosessorer som ikke er helt ulik Spectre/Meltdown-problemene, har ført til at teamet bak Linux-oppdateringen er nødt til å utføre enkelte utbedringer, og dermed blir 5.17-versjonen av OS-et utsatt.
«Forrige helg trodde jeg at 5.17 ville komme ut i dag. Det var da, dette er nå», skriver han.
En rekke oppdateringer
«Forrige uke var ganske rotete, særlig på grunn av utsatte oppdateringer vi hadde liggende grunnet en annen variant av specter-angrep. Og, selv om oppdateringene fungerte greit, så vi det sedvanlige 'fordi de var skjulte, så ikke våre automatiserte tester det heller'.»
Når automatiserte tester ser «ting», blir alle mulige og umulige kombinasjoner prøvd ut, og resultatet er et «(lite) ras med oppdateringer til oppdateringene.»
På tross av de uforutsette omstendighetene vurderte Torvalds å publisere 5.17 likevel, men bestemte seg til syvende og sist for å avvente.
«Resultatet ble at vi har en -rc8-lansering i dag istedenfor den endelige versjonen av 5.17», konkluderte han.
I et forsøk på å klargjøre hva feilen handlet om, sa AMD at brikkene «[...] kan tidvis kjøre instruksjoner som følge av en betingelsesløs DB som kan resultere i cache-aktivitet som kan avleses.»
CVE-en fikk en alvorlighetsskår på 4,7/10, og så langt har det ikke kommet noen rapporter om at slike instrukser har blitt kjørt på maskiner utenfor testing. Siden problemet er å finne i 14 forskjellige klient-CPU-er og i både første- og andre generasjon EPYC-prosessorer (server-varianter), kan det ikke ignoreres.
Torvalds anbefalte også at utviklere ikke burde støtte seg på autmatiserte testfarmer, men heller fordype seg i arbeidet selv.
«Uansett, la oss ikke bare kjøre testene automatisk», foreslo han i det ukentlige kernel-nyhetsbrevet. «Desto flere, desto bedre, og faktiske tilfeller er alltid mer interessante enn det de automatiserte testfarmene gjør. Så, vennligst prøv den seneste rc-varianten», sa Torvalds avslutningsvis.
Kilde: The Register
