Linux E X P R E S

Facebook

Jádro 7/05

Upgrade kernel.org

Zřejmě každý linuxový fanda ví, že na adrese kernel.org se nalézají oficiální archivy linuxového jádra (Linux Kernel Archives). Je tu vždy snadno k nalezení poslední verze linuxového jádra, stejně jako všechny verze předchozí a spousty záplat (?patchů?) od mnoha jaderných vývojářů z celého světa.

Začátkem dubna poslal H. Peter Anvin do LKML oznámení, že proběhl výrazný upgrade serverů hostujících tyto archivy. Servery darovala Linuxu nakloněná společnost Hewlett-Packard a jedná se o dva čtyřprocesorové Opterony s 24 GB paměti a 10 TB diskového prostoru (HP ProLiant DL585). Připojení do Internetu pro změnu poskytla společnost ISC ve formě místa ve dvou nezávislých gigabitových datacenter v Palo Alto a San Franciscu. S tím souvisí i změna IP adres kernel.org a zrušení starých. Více o historii kernel.org viz kerneltrap.org/node/5070.

Ještě poznamenejme, že kromě archivů linuxového jádra jsou na mirrors.kernel.org zrcadleny populární svobodné a open-source projekty (např. GNU.org, LDP, KNOPPIX, CPAN) a přední linuxové distribuce (Debian, Mandriva, Red Hat a Fedora, SuSE) a na kernel.org/mirrors nezbytné seznamy zrcadel archivů linuxového jádra v neuvěřitelných 126 zemích a oblastech (samozřejmě včetně našich tří na MFF KU, FI MU a SH ČVUT).

Zranitelnost Hyper-Threadingu

Zhruba v polovině května oznámil člen bezpečnostního týmu FreeBSD Colin Percival lokální zranitelnost technologie Hyper-Threading (HT, nebo symmetric multi-threading) implementované Intelem v procesorech Pentium 4, Mobile Pentium 4, Pentium Extreme Edition a Xeon. Bezpečnostní chyba umožňuje získání informací (metodou postranního kanálu) z cizího procesu na úrovni paměťové cache sdílené oběma částmi ?rozdvojeného? jádra procesoru. Administrátorům (zabezpečených) víceuživatelských systémů doporučuje HT úplně zakázat.

Tato zranitelnost HT a její řešení bylo diskutováno i v LKML mezi vývojáři linuxového jádra, se smíšenými reakcemi. Podle A. Kleena je zakazování HT špatný přístup a Alan Cox považuje HT pro většinu uživatelů z pohledu zvýšení výkonu za bezvýznamné (udává se navýšení výkonu v rozmezí 5 až 30 %, podle zatížení). Linus si ale myslí, že HT je vynikající ve snížení latence (doby odezvy) systému, protože procesor často čeká, nicméně tomuto problému také nepřikládá velkou váhu. Lidé zabývající se bezpečností a speciálně kryptografií mají ale zcela opačný názor.

Všichni (včetně Intelu samotného) se shodnou v tom, že HT bezpečnostní problém má a že definitivní řešení existuje pouze na hardwarové úrovni. Chyba je sice teoreticky na lokální úrovni zneužitelná (např. lze získat klíče z kryptografických aplikací), ale prakticky stojí úspěšnému útoku v cestě mnoho nepříjemných překážek, např. ?zlý? proces musí celou dobu běžet na stejném jádře procesoru jako napadený proces, přesné načasování útoku, apod.

Řešení této chyby by podle vývojářů jádra ani nestálo za to (zesložitění jádra a výkonnostní dopad). Chyba se navíc netýká ani tak jádra, jako spíše bezpečnostních a kryptografických knihoven, které by neměly být zranitelné ani pomocí postranních kanálů. Závěr je tedy takový, že pro ty, kteří se vážně obávají o bezpečnost svých systémů a dat, je nejlepší podporu HT jednoduše vypnout.

Jádro 2.4.31

Další verze, 2.4.31, jádra předchozí stabilní řady, vyšla 31. května, dva měsíce od vydání předchozí verze. Ze seznamu změn jmenujme hlavně vylepšení a opravy týkající se 64bitové architektury x86-64 a opravu chyby při nahrávání spustitelného souboru formátu ELF (která může vést k získání práv superuživatele root). Dále opravy jiných chyb (sítě, I2C) a přidání podpory několika zařízení. Uživatelé jader řady 2.4 tedy mohou aktualizovat z některého z českých zrcadel kernel.org.

Opět ovladač webových kamerek Philips

V minulém čísle jsem psal, že v jádře 2.6.12 bude nová verze ovladače pwc webových kamerek Philips, umožňující naplno využívat možnosti těchto kamerek (vyšší obnovovací frekvence a vysoká rozlišení). Také jsem se zmínil, že způsob, jakým byl ?rozluštěn? dekompresní modul, je podle předchozího správce a autora ovladače pwc nelegální a že kontaktoval firmu Philips. Bohužel, obavy mnoha spokojených uživatelů nového ovladače se naplnily. Po důkladném prozkoumání přepsaného dekompresního modulu a po konzultaci s firmou Philips byl přední vývojář jádra Alan Cox nucen některé jeho části z jádra odstranit. Zmíněná vylepšená podpora kamerek tak v jádře 2.6.12 nebude, ale je zde ještě možnost přepsat onen dekompresní modul ?čistěji? v uživatelském prostoru (user space, tedy ne jako součást modulu jádra) a přidat jeho podporu ovladačem pwc do jádra 2.6.13.

Znechucení uživatelé a vývojáři ale namítají, že převážnou část odstraněného kódu tvoří tabulky náhodně vypadajících čísel a ty prostě nelze ?čistěji? nahradit, aniž by byl autor znovu nařčen z opisování a nekalých praktik. Podle nich je jedinou možností korektní podpory těchto kamerek uvolnění kódu firmou Philips pod licencí GPL nebo alespoň detailní popis dekompresního algoritmu.

Diskuze (0) Nahoru