Para corrigir falhas, sai o kernel Linux 6.8.5 além de outras atualizações estáveis do kernel devido à vulnerabilidade BHI nativa. Devido à divulgação da vulnerabilidade BHI nativa de ontem que afeta todos os processadores Intel com esta variante do Branch History Injection (BHI) não exigindo BPF para explorar, uma série de novas versões estáveis do kernel Linux estão disponíveis hoje para fazer o back-port dessa mitigação de segurança.
O BHI nativo é a mais nova vulnerabilidade de execução especulativa da CPU e um passo mais sério do que a vulnerabilidade original de injeção de histórico de filial divulgada em 2022, já que não precisa de acesso BPF sem privilégios. Apresentado ao Linux 6.9 Git na terça-feira foi a mitigação Spectre BHI para processadores Intel para uma sequência de limpeza BHB de software e/ou fazendo uso de microcódigo de CPU Intel atualizado para lidar com a mitigação. BHI nativo significa que o histórico da ramificação precisa ser limpo para cada entrada de chamada do sistema e saída de VM.
Para corrigir falhas, sai o kernel Linux 6.8.5 além de outras atualizações estáveis do kernel devido à vulnerabilidade BHI nativa
O código atualizado do kernel Linux permite controlar o comportamento BHI nativo com a nova opção de inicialização spectre_bhi=. Veja o artigo de ontem para mais informações sobre esta última dor de cabeça Spectre.
Enquanto ontem o código pousou no Linux Git para o desenvolvimento atual do kernel v6.9, hoje estão os kernels estáveis Linux 6.8.5, 6.6.26, 6.1.85 e 5.15.154 para back-porting da mitigação. Então vá em frente e atualize para o Linux 6.8.5 ou de outra forma as atualizações anteriores da versão do kernel LTS se quiser ser protegido contra BHI nativo em seu(s) sistema(s) Intel. O novo código do kernel, como sempre, pode ser baixado do kernel.org.
Estarei trabalhando em alguns benchmarks em breve para ver se há alguma implicação de desempenho no mundo real desta última mitigação de segurança de CPU.