世界知名Linux開發(fā)者Greg Kroah-Hartman發(fā)出警告，Meltdown和Spectre CPU漏洞可能會對Linux開發(fā)者造成嚴重影響，并對英特爾封鎖消息、阻撓開發(fā)人員合作等進行了抨擊和批評。同時也告知開發(fā)人員應當如何處理這些漏洞的細節(jié)問題。

29日，在北美開源峰會上，世界著名Linux內(nèi)核開發(fā)者Greg Kroah-Hartman對英特爾最初披露的Meltdown和Spectre CPU漏洞提出了質(zhì)疑。

Kroah-Hartman是世界領先的Linux內(nèi)核開發(fā)人員之一，負責維護穩(wěn)定的Linux內(nèi)核，并被Linux基金會聘用為研究員。

Kroah-Hartman

在他的演講中，Kroah-Hartman詳細介紹了Linux7種Meltdown和Spectre變體對內(nèi)核開發(fā)人員的根本影響。

他說：“Jann Horn在2017年7月發(fā)現(xiàn)了第一個問題，但直到去年10月25日，一些內(nèi)核社區(qū)的人才聽到有關該漏洞的傳言。 在很長一段時間里，我們只聽到的謠言是——因另一家知名操作系統(tǒng)供應商讓英特爾放下架子，才使得英特爾披露有關CPU的漏洞?！?/p>

英特爾欲蓋彌彰，卻無奈披露CPU漏洞

英特爾于1月3日首次公開承認了Meltdown和Spectre漏洞。

多位研究人員向英特爾報告了最初的研究，其中包括來自谷歌Project Zero項目的Horn。Kroah-Hartman說，當英特爾最終決定告訴Linux開發(fā)人員時，這個信息就被封鎖了。

通常情況下，當我們發(fā)現(xiàn)內(nèi)核安全漏洞時，會把問題轉交到Linux內(nèi)核安全團隊，而后我們會挑選合適的人員協(xié)助我們一起工作，最終推出補丁。

英特爾和SUSE之間存在隔閡，他們和Red Hat之間存在隔閡，也和Canonical存在隔閡。他們從未告知過Oracle，也不允許我們相互交談。

對于最初的一組漏洞，Kroah-Hartman說，不同的Linux供應商通常一起工作。然而，在這種情況下，他們最終選擇獨立工作，并各自提出不同的解決方案。

這真的行不通，我們許多內(nèi)核開發(fā)人員對(英特爾)大聲懇求，終于在(2017年)12月的最后一周讓他們允許我們彼此之間可以展開交談。

我們所有的圣誕假期都被毀了。

這真的很糟糕。英特爾真心把這件事搞砸了。

Linux內(nèi)核由各種組織開發(fā)和運行，并且有大型供應商支持的企業(yè)內(nèi)核以及社區(qū)內(nèi)核。Kroah-Hartman表示，世界上大多數(shù)人都沒有在企業(yè)支持的Linux內(nèi)核上運行。 他指出，英特爾習慣于與公司合作，而且最初只與企業(yè)供應商合作來解決Meltdown和Spectre的問題。

世界上大多數(shù)人都使用Debian，或者運行自己的內(nèi)核。

Debian不被允許披露這些漏洞，所以世界上大多數(shù)人都被他們搞得手足無措，這真不是件什么好事兒。

英特爾的反饋

Kroah-Hartman表示，據(jù)英特爾稱，在Linux內(nèi)核開發(fā)人員于2017年12月和2018年1月向該公司表示不滿之后，它修復了其未來與Meltdown和Spectre相關的漏洞披露的流程。

最新變體的Meltdown和Spectre被稱為Foreshadow，并于8月14日公開披露，Kroah-Hartman表示Linux內(nèi)核開發(fā)人員已提前得到通知，因此可以通過協(xié)作方式與Linux社區(qū)進行修復。

英特爾這次有點進步了。

有意思的是，Meltdown和Spectre漏洞產(chǎn)生了一個副作用，Linux和Windows開發(fā)人員目前正在合作，因為兩個操作系統(tǒng)都面臨著類似來自CPU漏洞的風險。

Windows和Linux內(nèi)核開發(fā)人員現(xiàn)在有了這個很棒的反向通道（back channel）。我們在互相交談，我們在為對方修復bug。

我們合作得很好。我們一直想要這樣。

修補缺陷

根據(jù)Kroah-Hartman的說法，目前所有已被報告出來的Meltdown和Spectre漏洞在現(xiàn)代支持的Linux內(nèi)核中都已經(jīng)得到了修復。

然而，他警告說，并不是所有的修復都被移植到較老的Linux 4.4內(nèi)核上，并建議用戶不要在運行該內(nèi)核的系統(tǒng)上運行任何不受信任的代碼。

雖然Linux上有很多補丁，但他強烈建議用戶也使用英特爾的微代碼補丁進行更新，因為它們給予了操作系統(tǒng)所不能提供的額外保護。

Kroah-Hartman還警告說，因新的變體還有可能會出現(xiàn)，所以Meltdown和Spectre問題將會持續(xù)很長一段時間。

修復最初的Meltdown和Spectre變體需要內(nèi)核開發(fā)人員付出很多心血，而Kroah-Hartman表示，他們正在努力開發(fā)更多的自動化修復程序。

未來10年里，我們不會再玩兒“打地鼠”的游戲了！

我們需要一種可靠的方法來自動發(fā)現(xiàn)錯誤，或者一個更新的編譯器來檢測易受攻擊的代碼模式并消除缺陷。

我們目前正在研究如何準確地檢測代碼中的Meltdown和Spectre類型的問題。

Kroah-Hartman認為：

安全一直是非常重要的事情。任何一個bug都可能會是一個安全漏洞。