forum.opennet.ru

Составление сообщения

Исходное сообщение

"Грег Кроа-Хартман раскритиковал поведение Intel при исправле..."
Отправлено opennews, 31-Авг-18 11:49

Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux,  в своём выступлении на конференции Open Source Summit North America раскритиковал (http://www.eweek.com/security/linux-kernel-developer-critici...) действия компании Intel по координации устранения уязвимостей Meltdown и Spectre до публичного раскрытия информации о данных проблемах.
Intel был информирован о проблемах Meltdown и Spectre ещё в июле 2017 года, но до 25 октября ведущие разработчики ядра Linux знали о проблемах лишь на уровне слухов. Возможно разработчики не получили бы информацию и в дальнейшем, но один из влиятельных поставщиков операционных систем настоял в Intel на  раскрытии информации и для разработчиков ядра.

Обычно устранение опасных уязвимостей в ядре производится сообща с привлечением команды  Linux kernel security team  и при участии мэйнтейнеров ядра из дистрибутивов. Но в случае с Meltdown и Spectre  всё было перевёрнуто с ног на голову и Intel в индивидуальном порядке информировал только SUSE, Red Hat и Canonical на условиях соглашения о неразглашении. Информированным производителям дистрибутивов были поставлены условия, запрещающие взаимодействие между собой, и каждому дистрибутиву пришлось создавать собственные исправления.

В конце концов компанию Intel удалось убедить в необходимости выработки общего для всех решения и Intel согласился провести совместную встречу, но разрешил сделать это только за считанные дни до  планируемого раскрытия сведений. Таким образом, пик работы над исправлением пришёлся на последнюю неделю 2017 года, что обеспечило вовлечённым в процесс исправления разработчикам незабываемое авральное Рождество и Новый год.

Многие производители и проекты не были информированы о проблемах, в том числе информация не была предоставлена компании Oracle и проекту Debian. Так как Debian является одним из самых популярных дистрибутивов Linux, в момент публичного раскрытия данных об уязвимостях большая часть пользователей Linux оказалась совершенно не защищена.

В последующем, компания Intel учла замечания по процессу раскрытия сведений и координируя исправление августовской уязвимости Foreshadow (https://www.opennet.ru/opennews/art.shtml?num=49134)  заранее предупредила о проблеме разработчиков ядра Linux и дала возможность коллегиально подготовить исправление. Более того,  работа над уязвимостями в CPU позволила наладить сотрудничество с разработчиками ядра Windows и организовать обмен информацией о возникающих проблемах и развиваемых методах исправления уязвимостей, не привязанных к конкретной операционной системе.

По словам Грега Кроа-Хартмана в настоящее время в свежих выпусках ядра Linux присутствует защита от всех известных уязвимостей класса  Meltdown и Spectre. При этом, пока не все исправления перенесены в старую, но ещё поддерживаемую, ветку 4.4. Несмотря на наличие защиты на уровне ядра, пользователям рекомендовано установить и  обновление микрокода Intel, в котором представлены новые возможности, позволяющие задействовать дополнительные уровни защиты, которые могут оказаться полезными для блокирования ещё неизвестных уязвимостей класса  Spectre.

По мнению  Грега новые варианты Spectre  будут всплывать ещё многие годы и для их блокирования предстоит большая работа по созданию систем для автоматического выявления типовых шаблонов в коде, которые могут вызывать проявление подобных уязвимостей. Данные механизмы выявления ошибок также могут быть включены в состав компиляторов для обнаружения и  исключения опасных сочетаний инструкций на этапе сборки.

URL: http://www.eweek.com/security/linux-kernel-developer-critici...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49205

Исходное сообщение
"Грег Кроа-Хартман раскритиковал поведение Intel при исправле..." Отправлено opennews, 31-Авг-18 11:49
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, в своём выступлении на конференции Open Source Summit North America раскритиковал (http://www.eweek.com/security/linux-kernel-developer-critici...) действия компании Intel по координации устранения уязвимостей Meltdown и Spectre до публичного раскрытия информации о данных проблемах. Intel был информирован о проблемах Meltdown и Spectre ещё в июле 2017 года, но до 25 октября ведущие разработчики ядра Linux знали о проблемах лишь на уровне слухов. Возможно разработчики не получили бы информацию и в дальнейшем, но один из влиятельных поставщиков операционных систем настоял в Intel на раскрытии информации и для разработчиков ядра. Обычно устранение опасных уязвимостей в ядре производится сообща с привлечением команды Linux kernel security team и при участии мэйнтейнеров ядра из дистрибутивов. Но в случае с Meltdown и Spectre всё было перевёрнуто с ног на голову и Intel в индивидуальном порядке информировал только SUSE, Red Hat и Canonical на условиях соглашения о неразглашении. Информированным производителям дистрибутивов были поставлены условия, запрещающие взаимодействие между собой, и каждому дистрибутиву пришлось создавать собственные исправления. В конце концов компанию Intel удалось убедить в необходимости выработки общего для всех решения и Intel согласился провести совместную встречу, но разрешил сделать это только за считанные дни до планируемого раскрытия сведений. Таким образом, пик работы над исправлением пришёлся на последнюю неделю 2017 года, что обеспечило вовлечённым в процесс исправления разработчикам незабываемое авральное Рождество и Новый год. Многие производители и проекты не были информированы о проблемах, в том числе информация не была предоставлена компании Oracle и проекту Debian. Так как Debian является одним из самых популярных дистрибутивов Linux, в момент публичного раскрытия данных об уязвимостях большая часть пользователей Linux оказалась совершенно не защищена. В последующем, компания Intel учла замечания по процессу раскрытия сведений и координируя исправление августовской уязвимости Foreshadow (https://www.opennet.ru/opennews/art.shtml?num=49134) заранее предупредила о проблеме разработчиков ядра Linux и дала возможность коллегиально подготовить исправление. Более того, работа над уязвимостями в CPU позволила наладить сотрудничество с разработчиками ядра Windows и организовать обмен информацией о возникающих проблемах и развиваемых методах исправления уязвимостей, не привязанных к конкретной операционной системе. По словам Грега Кроа-Хартмана в настоящее время в свежих выпусках ядра Linux присутствует защита от всех известных уязвимостей класса Meltdown и Spectre. При этом, пока не все исправления перенесены в старую, но ещё поддерживаемую, ветку 4.4. Несмотря на наличие защиты на уровне ядра, пользователям рекомендовано установить и обновление микрокода Intel, в котором представлены новые возможности, позволяющие задействовать дополнительные уровни защиты, которые могут оказаться полезными для блокирования ещё неизвестных уязвимостей класса Spectre. По мнению Грега новые варианты Spectre будут всплывать ещё многие годы и для их блокирования предстоит большая работа по созданию систем для автоматического выявления типовых шаблонов в коде, которые могут вызывать проявление подобных уязвимостей. Данные механизмы выявления ошибок также могут быть включены в состав компиляторов для обнаружения и исключения опасных сочетаний инструкций на этапе сборки. URL: http://www.eweek.com/security/linux-kernel-developer-critici... Новость: https://www.opennet.ru/opennews/art.shtml?num=49205

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра 
> Linux,  в своём выступлении на конференции Open Source Summit North 
> America раскритиковал (http://www.eweek.com/security/linux-kernel-developer-criticizes-intel-for-meltdown-spectre-response) 
> действия компании Intel по координации устранения уязвимостей Meltdown и Spectre до 
> публичного раскрытия информации о данных проблемах.

> Intel был информирован о проблемах Meltdown и Spectre ещё в июле 2017 
> года, но до 25 октября ведущие разработчики ядра Linux знали о 
> проблемах лишь на уровне слухов. Возможно разработчики не получили бы информацию 
> и в дальнейшем, но один из влиятельных поставщиков операционных систем настоял 
> в Intel на  раскрытии информации и для разработчиков ядра.

> Обычно устранение опасных уязвимостей в ядре производится сообща с привлечением команды 
>  Linux kernel security team  и при участии мэйнтейнеров ядра 
> из дистрибутивов. Но в случае с Meltdown и Spectre  всё 
> было перевёрнуто с ног на голову и Intel в индивидуальном порядке 
> информировал только SUSE, Red Hat и Canonical на условиях соглашения о 
> неразглашении. Информированным производителям дистрибутивов были поставлены условия, 
> запрещающие взаимодействие между собой, и каждому дистрибутиву пришлось создавать собственные 
> исправления.

> В конце концов компанию Intel удалось убедить в необходимости выработки общего для 
> всех решения и Intel согласился провести совместную встречу, но разрешил сделать 
> это только за считанные дни до  планируемого раскрытия сведений. Таким 
> образом, пик работы над исправлением пришёлся на последнюю неделю 2017 года, 
> что обеспечило вовлечённым в процесс исправления разработчикам незабываемое авральное 
> Рождество и Новый год.

> Многие производители и проекты не были информированы о проблемах, в том числе 
> информация не была предоставлена компании Oracle и проекту Debian. Так как 
> Debian является одним из самых популярных дистрибутивов Linux, в момент публичного 
> раскрытия данных об уязвимостях большая часть пользователей Linux оказалась совершенно 
> не защищена.

> В последующем, компания Intel учла замечания по процессу раскрытия сведений и координируя 
> исправление августовской уязвимости Foreshadow (https://www.opennet.ru/opennews/art.shtml?num=49134) 
>  заранее предупредила о проблеме разработчиков ядра Linux и дала возможность 
> коллегиально подготовить исправление. Более того,  работа над уязвимостями в CPU 
> позволила наладить сотрудничество с разработчиками ядра Windows и организовать обмен информацией 
> о возникающих проблемах и развиваемых методах исправления уязвимостей, не привязанных 
> к конкретной операционной системе.

> По словам Грега Кроа-Хартмана в настоящее время в свежих выпусках ядра Linux 
> присутствует защита от всех известных уязвимостей класса  Meltdown и Spectre. 
> При этом, пока не все исправления перенесены в старую, но ещё 
> поддерживаемую, ветку 4.4. Несмотря на наличие защиты на уровне ядра, пользователям 
> рекомендовано установить и  обновление микрокода Intel, в котором представлены новые 
> возможности, позволяющие задействовать дополнительные уровни защиты, которые могут оказаться 
> полезными для блокирования ещё неизвестных уязвимостей класса  Spectre.

> По мнению  Грега новые варианты Spectre  будут всплывать ещё многие 
> годы и для их блокирования предстоит большая работа по созданию систем 
> для автоматического выявления типовых шаблонов в коде, которые могут вызывать проявление 
> подобных уязвимостей. Данные механизмы выявления ошибок также могут быть включены в 
> состав компиляторов для обнаружения и  исключения опасных сочетаний инструкций на 
> этапе сборки.

> URL: http://www.eweek.com/security/linux-kernel-developer-criticizes-intel-for-meltdown-spectre-response 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49205

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру