Linuxové jádro mírně „rozvolní“ opatření proti Spectre V2 a V4 (Speculative Store Bypass) pro uživatelské úlohy. Od jádra 4.20 je výchozím chováním spec_store_bypass_disable=seccomp
a spectre_v2_user=seccomp
, tedy jen pro úlohy používající SECCOMP (secure computing mode). Nově by mělo být nastaveno prctl
, tedy jen pro procesy, které to mají nastaveno.
Změnu navrhnul Andrea Arcangeli z RedHatu již téměř před rokem. Podle něj nastavení seccomp
zbytečně zpomaluje všechny SECCOMP procesy a navíc nemá velký bezpečnostní přínos. Pokud bude například vzdáleně napadeno sshd (to používá SECCOMP), tak má nynější nastavení pomoci proti napadení dalších procesů. Ty však stejně mohou být napadeny, pokud nebude zároveň zapnuto mds=full,nosmt
, přitom pro MDS (Micro-architectural Data Sampling) je výchozím jen full
. O víkendu se diskutovalo o zařazení této změny do jádra.
(zdroj: phoronix)