CleanPress

Schlagwort: Greg Kroah-Hartman

  • Intel wegen Meltdown und Spectre in der Kritik

    Intel in der Kritik
    Bild: Penguins |  Quelle: pxhere | Lizenz: CC0

     

    Der Linux-Kernel-Entwickler Greg Kroah-Hartman übte in dieser Woche in Vancouver in einem Vortrag auf dem Open Source Summit North America scharfe Kritik an Intels langsamer erster Reaktion auf die Spectre- und Meltdown-Bugs. Er sprach in diesem Zusammenhang unter anderem von fahrlässigem Verhalten.  Die Kernel-Entwickler hätten erst Ende Oktober vergangenen Jahres gerüchteweise von den Problemen erfahren, obwohl diese bereits im Juli gefunden und Intel bekannt gemacht wurden. Das berichtete das Magazin Eweek.

    Intel in der Kritik

    Kroah-Hartman sagte, dass, als Intel endlich beschloss, den Linux-Entwicklern zu eröffnen, worum es bei den Sicherheitslücken geht, dies in einer Art und Weise geschah, die jegliche Zusammenarbeit der Kernel-Entwickler mit den Distributionen per Embargo unterbunden habe. SUSE, Red Hat und Canonical seien informiert worden, ihnen sei aber untersagt worden, miteinander darüber zu reden. Oracle wurde gar nicht informiert, Debian erst sehr spät. Aus der Sicherheitsperspektive recht verheerend, so der Entwickler.

    Community außen vor

    Die Community sei insgesamt total außen vor geblieben. Die meisten Distributionen arbeiten mit vom Mainline-Kernel abgeleiteten Kerneln und seien somit »mit heruntergelassenen Hosen« erwischt worden. Intel sei die Zusammenarbeit mit großen Unternehmen gewohnt, wo andere Regeln gelten als in der Linux-Community. Da aber Intel zu einem der größten Beitragenden zum Kernel zählt und viele Kernel-Entwickler beschäftigt, klingt das insgesamt wenig glaubwürdig.

    Gestresste Kernel-Entwickler

    Kroah-Hartman sagte, typischerweise arbeiteten die verschiedenen Linux-Anbieter im Fall solch allgemeiner Sicherheitslücken zusammen. In diesem Fall waren sie jedoch gezwungen, jeder für sich zu arbeiten und kamen so zu unterschiedlichen Lösungen. Erst durch massiven Protest bei Intel sei das Embargo in der letzten Dezemberwoche 2017 aufgehoben worden. Das ruinierte die Weihnachtsferien für alle Beteiligten, denn Anfang Januar sollten die Lücken der Öffentlichkeit bekannt gemacht werden, was auch am 3. Januar geschah.

    Kroah-Hartman sagte, nach den ersten lautstarken Protesten der Entwickler habe sich die Zusammenarbeit bei den später folgenden Enthüllungen weiterer Lücken gebessert.

    Bessere Zusammenarbeit

    Ein interessanter Nebeneffekt der Meltdown- und Spectre-Schwachstellen besteht laut Kroah-Hartman darin, dass Linux- und Windows-Entwickler jetzt bei der Sicherheit zusammenarbeiten, da beide Betriebssysteme ähnliche Risiken aufgrund der CPU-Schwachstellen aufweisen. »Windows- und Linux-Kernel-Entwickler haben jetzt diesen wundervollen Rückkanal. Wir reden miteinander und wir reparieren Fehler füreinander«, sagte Kroah-Hartman. »Wir arbeiten gut zusammen. Das haben wir schon immer gewollt.« Ende gut – alles etwas besser.

  • Meltdown & Spectre aus Sicht eines Kernel-Entwicklers

    Meltdown & Spectre
    Bild: „Greg Kroah-Hartman“: von tian2992CC BY-SA 2.0

     

    Kernel-Entwickler Greg Kroah-Hartman (GregKH) hat in seinem Blog einen Statusbericht über den derzeitigen Stand der Dinge bei Meltdown und Spectre veröffentlicht. Als Essenz bleiben zwei Kernsätze:

    • Linux-Nutzer sollten in den nächsten Monaten noch eifriger auf zeitnahe Kernel-Updates achten.
    • Wer eine Distribution nutzt, die noch keinen aktualisierten Kernel mit den KPTI-Patches anbietet, sollte jetzt die Distribution wechseln.

    GregKH, der Maintainer der Stable-Kernel-Reihe, verweist zum Verständnis der Ereignisse auf das Projekt-Zero-Papier der GoogleSicherheitsforscher, das er in seiner Qualität für preisverdächtig hält. Weitere technische Details, wie die Kernel-Entwickler die Lücken zu schließen versuchen, finden sich auf LWN im Artikel »Addressing Meltdown and Spectre in the kernel«, der allerdings derzeit nur für Abonnenten zugänglich ist.

    Kritik an den betroffenen Unternehmen gibt es nicht nur von Linus Torvalds, sondern auch von GregKH, wenn der sagt, dies sei ein Paradebeispiel dafür, wie man nicht mit der Kernel-Entwicklergemeinde umgehen sollte. Es gibt laut GregKH dazu noch einiges zu sagen, jetzt sollen allerdings zunächst die Fehler beseitigt werden.

    Meltdown – x86

    Der heute erwartete Kernel 4.15-rc7 wird alle Patches gegen Meltdown enthalten, die bisher verfügbar sind. Da aber die wenigsten Anwender rc-Kernel nutzen, hat GregKH als Hüter der stabilen Kernelreihen den Page-Table-Isolation-Code, der Meltdown-Angriffe vereitelt, in den aktuellen Kernel 4.14.12 übernommen. In  den nächsten Tagen wird dieser von 4.14.13 abgelöst, der einige Patches für Systeme enthält, die Bootprobleme mit 4.14.12 haben. Auch die LTS-Kernel 4.4 und 4.9 sind mit der Option CONFIG_PAGE_TABLE_ISOLATION neu gebaut und veröffentlicht worden.

    Meltdown – ARM64

    Die Meltdown-Patches für ARM64 sind noch im aktuellen Kernel-Zweig integriert. Sie sind fertig und sollen, sobald 4.15 in wenigen Wochen aus der Tür ist, in 4.16-rc1 gemerged werden. Anwender, die auf einen ARM64-Kernel angewiesen sind, sollten daher derzeit auf den Android Common Kernel-Zweig setzen. Die Patches sind dort in die Zweige 3.18, 4.4 und 4.9 gemerged worden.

    Spectre

    Bisher sind keine Patches gegen diesen Angriffsvektor in die offiziellen Kernelreihen eingebracht worden. Es liegen eine Menge Patches auf diversen Mailinglisten vor, die das Problem angehen, aber alle sind noch in heftiger Entwicklung begriffen. Teilweise gibt es Konflikte zwischen diesen Patches, die zum Teil noch nicht einmal so weit sind, dass sie gebaut werden können. Hier herrscht ziemliches Durcheinander. Das liegt daran, dass die Spectre-Probleme die letzten waren, die von den Kernel-Entwicklern angegangen wurden. Alle arbeiteten an Meltdown-Lösungen, und es lagen keine wirklichen Informationen darüber vor, was genau das Spectre-Problem überhaupt war.

    Aus diesem Grund wird es noch einige Wochen brauchen, um diese Probleme zu lösen und sie Upstream zusammenzuführen. Die Korrekturen kommen in verschiedenen Subsystemen des Kernels an und werden gesammelt und in den stabilen Kernel-Updates veröffentlicht sobald sie gemerged sind. Also ist es auch hier am besten, mit den Kernel-Releases der verwendeten Distribution oder den LTS- und stabilen Kernel-Releases auf dem Laufenden zu bleiben.

    Meltdown & Spectre: Alle im gleichen Boot

    Die gesamte Industrie sitzt hier derzeit im gleichen Boot. Kein Betriebssystem scheint gegen Spectre bisher ausreichend gewappnet. Die vorgeschlagenen Lösungen sind nicht gerade trivial, aber einige von ihnen sind erstaunlich gut. Der Retpoline-Post von Googles Paul Turner ist ein Beispiel für einige der neuen Konzepte, die zur Lösung dieser Probleme entwickelt wurden. Dies wird in den nächsten Jahren ein Bereich mit vielen Forschungsarbeiten sein, um Wege aufzuzeigen, wie man die potenziellen Probleme im Bereich der spekulativen Ausführung bei modernen Prozessoren in den Griff bekommt.

    Derzeit liegen Patches für Meltdown und Spectre lediglich für die Architekturen x86 und arm64 vor. Einige Patches sind in Unternehmens-Distributionen gesichtet worden, die hoffentlich bald in den Upstream eingeführt werden.

    »Im Moment gibt es eine Menge sehr überarbeiteter, mürrischer, schlafloser und einfach nur angepisster Kernel-Entwickler, die so hart wie möglich daran arbeiten, diese Probleme zu lösen, die sie selbst überhaupt nicht verursacht haben. Bitte seid hier rücksichtsvoll. Sie brauchen die ganze Liebe und Unterstützung und kostenlose Versorgung mit ihrem Lieblingsgetränk, das wir ihnen zur Verfügung stellen können, um sicherzustellen, dass wir alle so schnell wie möglich mit reparierten Systemen arbeiten können.«

     

     

  • Linux-Kernel-LTS wird auf 6 Jahre ausgedehnt

    Greg Kroah-Hartman
    Greg Kroah-Hartman By:tian2992CC BY-SA 2.0

    Der für Google arbeitende und dort für das Android-Projekt Treble verantwortliche Iliyan Malchev hat auf der gerade stattfindenden Konferenz Linaro Connect in einem Vortrag die Nachricht einfließen lassen, die Unterstützung für den Linux-Kernel-Long-Term-Support (LTS) werde von derzeit mindestens zwei auf sechs Jahre ausgedehnt. Er ergänzte, Greg Kroah-Hartman, Kernel-Entwickler und Maintainer von Kernel LTS für die Linux Foundation habe ihm gestattet, die Neuigkeit zu verbreiten. Hartman hat die Nachricht mittlerweile auf Twitter bestätigt.

    Die längere Laufzeit der Longterm-Kernel-Versionen des Kernels wird nicht nur Android-Entwickler freuen, sondern neben vielen Anwendern in Unternehmen auch die Linux-Distributionen, die selbst LTS-Versionen ihrer Veröffentlichungen anbieten. Dieser Schritt erspart den jeweiligen Maintainern viel Arbeit. Android profitiert jedoch im Rahmen des in Android 8 Oreo eingeflossenen Projekt Treble besonders davon. Die mit Android ausgelieferten Kernel profitierten zwar bisher bereits von zwei Jahren LTS. Allerdings ist dieser Zeitraum zu kurz. 

    Android profitiert besonders

    Wenn ein Hersteller wie Qualcomm oder MediaTek einen Prozessor entwirft, wählt er irgendwann während der Designphase des Prozessors die aktuellste LTS-Version des Kernels aus. Sobald dieser Prozessor für OEMs wie Samsung oder LG freigegeben wird und der OEM dann tatsächlich ein Gerät herstellt, das diesen Prozessor verwendet, sind  bereits bis zu einem  Jahr oder mehr vergangen, seit die LTS-Version vom Chiphersteller ausgewählt wurde. Das Ergebnis ist, dass das eigentliche Gerät meist weniger als ein Jahr Kernel-Fixes erhalten kann bevor die LTS-Periode endet. Mit der Verlängerung der LTS-Phase auf 6 Jahre profitiert somit im Endeffekt der Smartphone-Kunde, der ein sicherers Gerät über einen längeren Zeitraum erhält.

     

    6 Jahre Support für Linux Kernel
    Bild: Google

    Bereits Linux 4.4 LTS erhält 6 Jahre Support

    Der derzeitig aktuellste LTS-Kernel ist 4.9, der zur Grundlage von Debians aktuell stabiler Version Debian 9 Stretch wurde. Außer Kernel 4.9, der noch mindestens bis Dezember 2018 gepflegt wird, sind derzeit die Kernel 4.4.87, 4.1.43, 3.16.47, 3.10.107, 3.4.113 und 3.2.92 langzeitgepflegt. Ab und zu reicht die Pflege über die zugesicherten zwei Jahre hinaus. Ein Beispiel hierfür ist Kernel 3.18, dem Greg KH im April 2017 noch eine Verlängerung erteilte. Eigentlich sollte die Reihe im Februar eingestellt werden. In seiner Begründung erklärte Hartman, unglücklicherweise sei 3.18 noch auf Millionen von produktiven Geräten im Einsatz. Die jetzt verkündete Verlängerung gilt bereits ab Kernel 4.4 LTS.

    LTS-Support nicht nur von Greg KH

    Nicht nur Hartman, sondern auch andere Entwickler und Unternehmen unterstützen die Langzeitpflege des Kernels. Bereits seit Kernel 2.6.16, der im März 2006 veröffentlicht wurde, werden Kernel länger gepflegt. Der damalige Debian-Entwickler Adrian Bunk hatte sowohl 2.6.16 als auch 2.6.27 lange nach dessen EOL (End of Life) unterstützt. Kernel 2.6.32 aus dem Jahr 2009 erfuhr Unterstützung bis zum Januar 2016. Seit 2011 werden LTS-Kernel auch von der Linux Foundation in der Arbeitsgruppe LTSI unterstützt.

     

    Der entsprechende Passus beginnt ab 21:05

  • Kernel 4.14 erhält Langzeitunterstützung

     

    Greg Kroah-Hartman

    Nach Kernel 4.9 wird nun Kernel 4.14 zum nächsten mit Langzeitunterstützung versehenen Linux-Kernel. Das teilte Kernel-Maintainer Greg Kroah-Hartman  (Greg KH) jetzt in seinem Blog mit. Hartman hatte bereits im Juni auf G+ diese Absicht bekundet und nach Einwänden gefragt. Da es offensichtlich keine gab, folgte nun die Bestätigung.

    Kernel 4.14 im November erwartet

    Hartman wird Kernel 4.14 für mindestens zwei Jahre unterstützen, sofern diese Ausgabe des Linux-Kernels sich als stabil und problemfrei erweist. Davon geht Greg KH bei der gegebenen Stabilität der Kernel-Entwicklung jedoch aus. Somit wird Hartman mit ziemlicher Sicherheit 4.14 für mindestens zwei Jahre mit stabilen Kernel-Patch-Backports versorgen. Gerade vor wenigen Tagen wurde Kernel 4.13 veröffentlicht und das Merge-Window für Einreichungen zu 4.14 geöffnet. Mit der Veröffentlichung ist für den November zu rechnen. Damit wird Kernel 4.14 LTS bis mindestens November 2019 mit Updates versorgt.

    Greg Kroah-Hartman

     

    Auch länger als zwei Jahre

    Der derzeitig aktuellste LTS-Kernel ist 4.9, der zur Grundlage von Debians aktuell stabiler Version Debian 9 Stretch wurde. Außer Kernel 4.9, der noch mindestens bis Dezember 2018 gepflegt wird, sind derzeit die Kernel 4.4.87, 4.1.43, 3.16.47, 3.10.107, 3.4.113 und 3.2.92 langzeitgepflegt. Ab und zu reicht die Pflege über die zugesicherten zwei Jahre hinaus. Ein Beispiel hierfür ist Kernel 3.18, dem Greg KH im April 2017 noch eine Verlängerung erteilte. Eigentlich sollte die Reihe im Februar eingestellt werden. In seiner Begründung erklärte Hartman, unglücklicherweise sei 3.18 noch auf Millionen von produktiven Geräten im Einsatz.

    LTS-Support nicht nur von Greg KH

    Nicht nur Hartman, sondern auch andere Entwickler und Unternehmen unterstützen die Langzeitpflege des Kernels. Bereits seit Kernel 2.6.16, der im März 2006 veröffentlicht wurde, werden Kernel länger gepflegt. Der damalige Debian-Entwickler Adrian Bunk hatte sowohl 2.6.16 als auch 2.6.27 lange nach dessen EOL (End of Life) unterstützt. Kernel 2.6.32 aus dem Jahr 2009 erfuhr Unterstützung bis zum Januar 2016. Seit 2011 werden LTS-Kernel auch von der Linux Foundation in der Arbeitsgruppe LTSI unterstützt.