英特尔欲盖弥彰,却无奈披露CPU漏洞
世界知名linux开发者greg kroah-hartman发出警告,meltdown和spectre cpu漏洞可能会对linux开发者造成严重影响,并对英特尔封锁消息、阻挠开发人员合作等进行了抨击和批评。同时也告知开发人员应当如何处理这些漏洞的细节问题。
29日,在北美开源峰会上,世界著名linux内核开发者greg kroah-hartman对英特尔最初披露的meltdown和spectre cpu漏洞提出了质疑。
kroah-hartman是世界领先的linux内核开发人员之一,负责维护稳定的linux内核,并被linux基金会聘用为研究员。
kroah-hartman
在他的演讲中,kroah-hartman详细介绍了linux7种meltdown和spectre变体对内核开发人员的根本影响。
他说:“jann horn在2017年7月发现了第一个问题,但直到去年10月25日,一些内核社区的人才听到有关该漏洞的传言。 在很长一段时间里,我们只听到的谣言是——因另一家知名操作系统供应商让英特尔放下架子,才使得英特尔披露有关cpu的漏洞。”
英特尔欲盖弥彰,却无奈披露cpu漏洞
英特尔于1月3日首次公开承认了meltdown和spectre漏洞。
多位研究人员向英特尔报告了最初的研究,其中包括来自谷歌project zero项目的horn。kroah-hartman说,当英特尔最终决定告诉linux开发人员时,这个信息就被封锁了。
通常情况下,当我们发现内核安全漏洞时,会把问题转交到linux内核安全团队,而后我们会挑选合适的人员协助我们一起工作,最终推出补丁。
英特尔和suse之间存在隔阂,他们和red hat之间存在隔阂,也和canonical存在隔阂。他们从未告知过oracle,也不允许我们相互交谈。
对于最初的一组漏洞,kroah-hartman说,不同的linux供应商通常一起工作。然而,在这种情况下,他们最终选择独立工作,并各自提出不同的解决方案。
这真的行不通,我们许多内核开发人员对(英特尔)大声恳求,终于在(2017年)12月的最后一周让他们允许我们彼此之间可以展开交谈。
我们所有的圣诞假期都被毁了。
这真的很糟糕。英特尔真心把这件事搞砸了。
linux内核由各种组织开发和运行,并且有大型供应商支持的企业内核以及社区内核。kroah-hartman表示,世界上大多数人都没有在企业支持的linux内核上运行。 他指出,英特尔习惯于与公司合作,而且最初只与企业供应商合作来解决meltdown和spectre的问题。
世界上大多数人都使用debian,或者运行自己的内核。
debian不被允许披露这些漏洞,所以世界上大多数人都被他们搞得手足无措,这真不是件什么好事儿。
英特尔的反馈
kroah-hartman表示,据英特尔称,在linux内核开发人员于2017年12月和2018年1月向该公司表示不满之后,它修复了其未来与meltdown和spectre相关的漏洞披露的流程。
最新变体的meltdown和spectre被称为foreshadow,并于8月14日公开披露,kroah-hartman表示linux内核开发人员已提前得到通知,因此可以通过协作方式与linux社区进行修复。
英特尔这次有点进步了。
有意思的是,meltdown和spectre漏洞产生了一个副作用,linux和windows开发人员目前正在合作,因为两个操作系统都面临着类似来自cpu漏洞的风险。
windows和linux内核开发人员现在有了这个很棒的反向通道(back channel)。我们在互相交谈,我们在为对方修复bug。
我们合作得很好。我们一直想要这样。
修补缺陷
根据kroah-hartman的说法,目前所有已被报告出来的meltdown和spectre漏洞在现代支持的linux内核中都已经得到了修复。
然而,他警告说,并不是所有的修复都被移植到较老的linux 4.4内核上,并建议用户不要在运行该内核的系统上运行任何不受信任的代码。
虽然linux上有很多补丁,但他强烈建议用户也使用英特尔的微代码补丁进行更新,因为它们给予了操作系统所不能提供的额外保护。
kroah-hartman还警告说,因新的变体还有可能会出现,所以meltdown和spectre问题将会持续很长一段时间。
修复最初的meltdown和spectre变体需要内核开发人员付出很多心血,而kroah-hartman表示,他们正在努力开发更多的自动化修复程序。
未来10年里,我们不会再玩儿“打地鼠”的游戏了!
我们需要一种可靠的方法来自动发现错误,或者一个更新的编译器来检测易受攻击的代码模式并消除缺陷。
我们目前正在研究如何准确地检测代码中的meltdown和spectre类型的问题。
kroah-hartman认为:
安全一直是非常重要的事情。任何一个bug都可能会是一个安全漏洞。
智能健康护理产品如何选择合适的连接器?
SystemVerilog/Verilog中的各种延迟模型
历经6年的超融合,未来将走向何方?
建筑行业采用物联网和人工智能的好处是什么
联想否认断供华为 持续向华为销售产品和服务
英特尔欲盖弥彰,却无奈披露CPU漏洞
基于计算机控制的音乐圣诞灯的制作
怎样制作带有方向盘的滚轮
MCS51辛普生积分程序源代码(ASM)
供应过剩仍扩产不止,2013年多晶硅产业雪上加霜
WCAA冬季电子竞技挑战赛终于落下了最终帷幕
采用UCC28056器件PFC设计解决待机功耗问题
薄膜晶体管液晶铜膜蚀刻
如何利用Ampilifer中的一个模板快速设计低噪声放大器?
盘点2019年机器学习和人工智能行业的发展趋势
人工智能家居产品有哪些
陕西国网电力实现了基建战场多点开花圆满打赢了三年攻坚战
华为新机年底发布:麒麟980处理器+折叠屏
伺服电机JN13系列连接器的应用
Pipeline中throwIt的用法
29日,在北美开源峰会上,世界著名linux内核开发者greg kroah-hartman对英特尔最初披露的meltdown和spectre cpu漏洞提出了质疑。
kroah-hartman是世界领先的linux内核开发人员之一,负责维护稳定的linux内核,并被linux基金会聘用为研究员。
kroah-hartman
在他的演讲中,kroah-hartman详细介绍了linux7种meltdown和spectre变体对内核开发人员的根本影响。
他说:“jann horn在2017年7月发现了第一个问题,但直到去年10月25日,一些内核社区的人才听到有关该漏洞的传言。 在很长一段时间里,我们只听到的谣言是——因另一家知名操作系统供应商让英特尔放下架子,才使得英特尔披露有关cpu的漏洞。”
英特尔欲盖弥彰,却无奈披露cpu漏洞
英特尔于1月3日首次公开承认了meltdown和spectre漏洞。
多位研究人员向英特尔报告了最初的研究,其中包括来自谷歌project zero项目的horn。kroah-hartman说,当英特尔最终决定告诉linux开发人员时,这个信息就被封锁了。
通常情况下,当我们发现内核安全漏洞时,会把问题转交到linux内核安全团队,而后我们会挑选合适的人员协助我们一起工作,最终推出补丁。
英特尔和suse之间存在隔阂,他们和red hat之间存在隔阂,也和canonical存在隔阂。他们从未告知过oracle,也不允许我们相互交谈。
对于最初的一组漏洞,kroah-hartman说,不同的linux供应商通常一起工作。然而,在这种情况下,他们最终选择独立工作,并各自提出不同的解决方案。
这真的行不通,我们许多内核开发人员对(英特尔)大声恳求,终于在(2017年)12月的最后一周让他们允许我们彼此之间可以展开交谈。
我们所有的圣诞假期都被毁了。
这真的很糟糕。英特尔真心把这件事搞砸了。
linux内核由各种组织开发和运行,并且有大型供应商支持的企业内核以及社区内核。kroah-hartman表示,世界上大多数人都没有在企业支持的linux内核上运行。 他指出,英特尔习惯于与公司合作,而且最初只与企业供应商合作来解决meltdown和spectre的问题。
世界上大多数人都使用debian,或者运行自己的内核。
debian不被允许披露这些漏洞,所以世界上大多数人都被他们搞得手足无措,这真不是件什么好事儿。
英特尔的反馈
kroah-hartman表示,据英特尔称,在linux内核开发人员于2017年12月和2018年1月向该公司表示不满之后,它修复了其未来与meltdown和spectre相关的漏洞披露的流程。
最新变体的meltdown和spectre被称为foreshadow,并于8月14日公开披露,kroah-hartman表示linux内核开发人员已提前得到通知,因此可以通过协作方式与linux社区进行修复。
英特尔这次有点进步了。
有意思的是,meltdown和spectre漏洞产生了一个副作用,linux和windows开发人员目前正在合作,因为两个操作系统都面临着类似来自cpu漏洞的风险。
windows和linux内核开发人员现在有了这个很棒的反向通道(back channel)。我们在互相交谈,我们在为对方修复bug。
我们合作得很好。我们一直想要这样。
修补缺陷
根据kroah-hartman的说法,目前所有已被报告出来的meltdown和spectre漏洞在现代支持的linux内核中都已经得到了修复。
然而,他警告说,并不是所有的修复都被移植到较老的linux 4.4内核上,并建议用户不要在运行该内核的系统上运行任何不受信任的代码。
虽然linux上有很多补丁,但他强烈建议用户也使用英特尔的微代码补丁进行更新,因为它们给予了操作系统所不能提供的额外保护。
kroah-hartman还警告说,因新的变体还有可能会出现,所以meltdown和spectre问题将会持续很长一段时间。
修复最初的meltdown和spectre变体需要内核开发人员付出很多心血,而kroah-hartman表示,他们正在努力开发更多的自动化修复程序。
未来10年里,我们不会再玩儿“打地鼠”的游戏了!
我们需要一种可靠的方法来自动发现错误,或者一个更新的编译器来检测易受攻击的代码模式并消除缺陷。
我们目前正在研究如何准确地检测代码中的meltdown和spectre类型的问题。
kroah-hartman认为:
安全一直是非常重要的事情。任何一个bug都可能会是一个安全漏洞。
智能健康护理产品如何选择合适的连接器?
SystemVerilog/Verilog中的各种延迟模型
历经6年的超融合,未来将走向何方?
建筑行业采用物联网和人工智能的好处是什么
联想否认断供华为 持续向华为销售产品和服务
英特尔欲盖弥彰,却无奈披露CPU漏洞
基于计算机控制的音乐圣诞灯的制作
怎样制作带有方向盘的滚轮
MCS51辛普生积分程序源代码(ASM)
供应过剩仍扩产不止,2013年多晶硅产业雪上加霜
WCAA冬季电子竞技挑战赛终于落下了最终帷幕
采用UCC28056器件PFC设计解决待机功耗问题
薄膜晶体管液晶铜膜蚀刻
如何利用Ampilifer中的一个模板快速设计低噪声放大器?
盘点2019年机器学习和人工智能行业的发展趋势
人工智能家居产品有哪些
陕西国网电力实现了基建战场多点开花圆满打赢了三年攻坚战
华为新机年底发布:麒麟980处理器+折叠屏
伺服电机JN13系列连接器的应用
Pipeline中throwIt的用法