以前,Linux 领域的"补丁星期二"并不热闹,但这个月不一样了... Linus Torvalds 刚刚发布了围绕 AMD INCEPTION 和 Intel DOWNFALL 的内核代码变更以及其他安全补丁。
此次合并为 Zen 3 和 Zen 4 添加了围绕缓解 AMD 投机性返回地址堆栈(RAS)溢出漏洞的内核部分:
有关 AMD INCEPTION 披露的详细信息,请参阅我们之前发布的文章。
为 AMD 处理器上的投机性 RAS(返回地址栈)溢出漏洞添加缓解措施。简而言之,这又是一个用户空间毒害微架构结构的问题,该结构可通过侧信道泄漏特权信息。
Linus 还合并了围绕 Intel Gather Data Sampling (GDS) / DOWNFALL 的内核变更。请参阅英特尔 DOWNFALL 漏洞概述,了解影响 Skylake 到 Ice Lake / Tigerlake 处理器的该问题的详细信息:
AMD 和英特尔处理器都需要微码更新,这些更新将随时推送:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00837.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00836.html
周二补丁还包括内核的 Xen 安全修复。这些安全补丁现已发布在 Linux 6.5 内核的 Linux Git 中,并将在未来几天内向 Linux 稳定版系列回传。
由于 AMD INCEPTION 和 Intel DOWNFALL 投机执行漏洞在本周二补丁发布后,Linux 6.5 Git 迅速获取了补丁,现在有六个新的稳定点版本可将这些 CPU 安全漏洞反向移植到支持的稳定内核系列。
这些 Linux 内核补丁允许报告 CPU 的投机执行漏洞状态,并允许使用最新的 CPU 微代码对修改其行为进行新的控制。但是,要正确缓解这些新漏洞,英特尔的最新微代码和 AMD 的最新微代码非常重要。
今天下午发布的新稳定点版本包括 Linux 版本 6.4.9、6.1.44、5.15.125、5.10.189、4.19.290 和 4.14.321,这些版本都包含了 AMD 和英特尔的安全修复。
这些稳定点版本涵盖了当前的 Linux 6.4 稳定系列以及支持的长期支持 (LTS) 系列内核。