SaturdaysTalks: nuova opzione nel Kernel Linux per disabilitare Spectre. Molto rumore per nulla?
Delle vulnerabilità Spectre e Meldown, relative alle CPU Intel, ne stiamo parlando ormai da più di un anno. Scenari apocalittici e momenti di panico hanno attraversato la testa di ciascuno di noi, ma ora che i tempi sono più tranquilli è possibile fare un bilancio effettivo.
Quanti attacchi di vasta scala sono stati riconducibili a queste falle? Apparentemente zero, o almeno noi di MMUL non ne siamo al corrente.
Rimane però il fatto che le mitigazioni a questi problemi sono state da subito oggetto di dibattito: in quanto non rimovibile dalla CPU stessa, il problema è stato gestito via software, eliminando la possibilità di utilizzare la funzionalità che scatena il problema. Funzionalità che però garantiva una maggiore velocità di esecuzione dei processi. Risultato? Un generale, e naturale, rallentamento.
Ma se il problema di fatto sembra non sfruttabile o facilmente arginabile con limitazioni di altro tipo, ha ancora senso mantenere le mitigazioni e scadere nelle performance?
La risposta pare sia no, o quantomeno, è nata da subito l’esigenza di rendere l’abilitazione e disabilitazione delle mitigazioni controllabile dall’utente. Come spiega Catalin Cimpanu di ZDNet, dal kernel 4.15 è possibile disabilitare le mitigazioni mediante l’aggiunta del parametro nospectre_v2 alla command line di esecuzione del Kernel. Dal Kernel 4.17 è addirittura possibile disabilitare tutte le mitigazioni relative a Spectre V4 con l’opzione nospec_store_bypass_disable mentre dal 4.19 l’opzione nospectre_v1 fa la stessa cosa per la versione relativa.
L’articolo continua descrivendo altre nuove modalità di disabilitazione come l’aggiunta di un control bit denominato PR_SPEC_DISABLE_NOEXEC che consentirà ai processi figlio di non subire le limitazioni imposte al processo padre.
Ora, l’intera vicenda porta a domandarsi: che sia stato fatto molto rumore per nulla? O è sempre bene andarci cauti e lasciare tutte le mitigazioni al posto onde evitare spiacevoli sorprese? La scelta come sempre (e per fortuna, aggiungerei) è lasciata a chi i sistemi li deve gestire.
Dura la vita del sistemista, ragazzi.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale http://www.miamammausalinux.org per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
