Rémálom lehetett Linuxon javítani a Spectre és a Meltdown sebezhetőségeket

Greg Kroah-Hartman, a világ egyik vezető Linux kernelfejlesztője szerint többek karácsonya ráment.

Az idei év legnagyobb sztorija vitathatatlanul a Meltdown és a Spectre, amely sebezhetőségek még január elején kopogtattak be, de valójában ezek javítása már korábban elkezdődött, hiszen az érintett hardverek fejlesztőit, a felfedezésért felelős Google Project Zero az előző év júliusában értesítette. Ebből azt gondolnánk, hogy minden rendben volt, de valójában a legkevésbé sem úgy történtek a dolgok, ahogy történniük kellett volna, és erről Greg Kroah-Hartman, a világ egyik vezető Linux kernelfejlesztője be is számolt az Open Source Summit North America rendezvényen.

Hirdetés

Az eWeek beszámolója szerint az Intel eléggé rosszul menedzselte a javítást a Linuxra vonatkozóan, ugyanis alapvetően a nagyobb disztribúcióknak szóltak, így tudott róla a SUSE, a Canonical és a Red Hat, de egymással nem lehetett beszélni erről. Ez a Linuxon azért problémás, mert itt a kernelt egy viszonylag nagy közösség fejleszti, vagyis a programozók számos szervezetből dolgoznak a rendszeren. A munka kifejezetten egységesített, vannak különböző csapatok is (például egy biztonságért felelős), akik gyakorlatilag a sebezhetőségek foltozásáért felelnek.

Ahhoz tehát, hogy a Linux kernelben elkészüljön egy hibára adott javítás, alapvetően az kell, hogy a kernel fejlesztésében résztvevő szervezetek érintett programozói tudomást szerezzenek róla, és megfelelő ütemezés mellett kínáljanak egy olyan egységes megoldást, amelyet aztán a disztribúciók fejlesztői szállíthatnak.

Greg Kroah-Hartman
Greg Kroah-Hartman (forrás: eWeek) [+]

Ez a Meltdown és a Spectre esetében nagyon nem így történt, ugyanis Greg Kroah-Hartman szerint a kernelt fejlesztő közösség október 25-én hallott egy pletykát a hibákról, ezt is azért, mert egy "nagyon-nagy, operációs rendszereket fejlesztő cég" (valószínűleg a Microsoft) ráförmedt az Intelre, hogy szedje össze magát, és számoljon be a sebezhetőségekről az említett közösségnek is. Addig persze a kiemelt szinten kezelt, fentebb említett disztribúciók elkezdték fejleszteni a saját javításaikat, de Greg Kroah-Hartman elmondása alapján nem igazán működött ez a koncepció, így pár kernelt fejlesztő szakember "kiabált és könyörgött" az Intelnél a probléma megoldása érdekében. Ez már eredményre vezetett, így az Intel az előző év decemberének utolsó hetében megengedte nekik, hogy beszéljenek egymással a gondokról. Erre többek karácsonya rá is ment, de legalább haladhatott az egységes foltozásra vonatkozó munka.

Greg Kroah-Hartman úgy gondolja, hogy ezt az Intel eléggé elrontotta. Állítása szerint azért nem optimális csak pár disztribúciónak szólni ezekről, mert a világ nagy része Debian kernelt használ, vagy esetleg sajátot fordítanak. Ugyanakkor a Debian nem is volt része annak a körnek, amely megfelelő időben tudomást szerezhetett a Meltdown és a Spectre létezéséről.

Szerencsére az Intel tanult az esetből, így a legújabb, Foreshadow gyűjtőnevű sebezhetőségeknél már megfelelően menedzselték a javításokra vonatkozó munkálatokat. Ez egyébként látszott is. A Meltdown és a Spectre esetében tapasztalható totális káosznak nyoma sem volt, mindenki tudta, hogy milyen javítások jönnek, illetve ezek mit okoznak. Csak egy apró licencprobléma rondított csak bele a történetbe, de ezt is korrigálta az Intel.

Greg Kroah-Hartman megjegyezte, hogy az idei évre vonatkozó hibák mellékterméke, hogy a Windows és a Linux kernelfejlesztői együttműködnek a felfedezett sérülékenységek javításán, ami elég nagy dolognak hangzik, még akkor is, ha ebből közvetlenül a felhasználók nem látnak semmit.

Azóta történt

Előzmények