Uma série de novas versões estáveis ??do kernel Linux foram lançadas esta semana com novas mitigações em torno do último lote de vulnerabilidades de segurança da CPU publicadas. Linux 5.19.1, 5.18.17, 5.15.60, 5.10.136, 5.4.210 e 4.19.255 são os novos lançamentos de agora. Portanto, o novo kernel Linux 5.19.1 acaba de ser lançado com muitas mitigações para falhas de segurança “PBRSB”.
O mais notável com essas novas versões do kernel Linux são eIBRS-PBRSB depois de encontrar CPUs Intel eIBRS para fornecer proteções insuficientes. O kernel Linux por meio de seu relatório de vulnerabilidades agora indicará se um sistema está vulnerável ao EIBRS Post-barrier Return Stack Buffer (PBRSB), se o sistema está sendo executado com proteção de RSB em VMEXITs ou se o sistema não é afetado.
Linux 5.19.1 lançado com muitas mitigações para falhas de segurança “PBRSB”
A alteração do kernel adiciona um LFENCE à sequência de preenchimento do buffer de pilha de retorno (RSB) e adiciona proteções RSB VMEXIT. O patch do kernel trata todas as CPUs que usam o Intel eIBRS – incluindo Alder Lake e Xeon Scalable Ice Lake de última geração – como precisando de tratamento PBRSB, exceto Goldmont Plus e Tremont.
De um dos patches do kernel:
tl;dr: A mitigação de IBRS aprimorada para Spectre v2 não funciona conforme documentado para instruções RET após a saída da VM. Atenue-o com um novo mecanismo de enchimento RSB de uma entrada e um novo LFENCE.
O trabalho de segurança x86 com porta traseira é em relação ao eIBRS-PBRSB que afeta as CPUs Intel mais recentes. Não há nenhuma mudança de mitigação do kernel neste momento em torno da vulnerabilidade de canal lateral AMD SQUIP que também foi divulgada na terça-feira.
As outras mudanças nas versões estáveis ??do kernel de agora são a correção de bugs usual. Pegue as novas fontes de kernel estáveis ??em kernel.org.
Lançamento da versão estável ocorreu no final do mês passado
Neste final de julho tivemos o lançamento oficial do kernel Linux 5.19, depois de um adiamento de uma semana por conta de problemas de mitigação de uma outra falha grave de segurança. Linus Torvalds até aproveitou a ocasião para dizer que estava utilizando o Asahi Linux para fazer o lançamento.
Linus Torvalds alegou também que já comaçava a se confundir com as numerações e que já é hora de encerrar definitivamente a série 5 do kernel Linix e dar início à série 6. Sendo assim, o Linux 6.0 será a próxima série do kernel.