Linux : noyau 4.15 avec des patchs pour Meltdown et Spectre

Le par  |  24 commentaire(s)
Linux

Le noyau Linux est disponible dans une version 4.15. Un cycle de développement qui a été impacté par la mise au jour des failles Meltdown et Spectre.

Le noyau Linux est disponible dans une nouvelle version stable 4.15. Pour Linus Torvalds, le père du noyau Linux, le cycle de développement de cette mouture 4.15 n'a pas été des plus plaisantes en raison des fameuses vulnérabilités Meltdown et Spectre des processeurs.

La faille Meltdown (CVE-2017-5754) affecte les processeurs Intel, tandis la faille Spectre (CVE-2017-5753 et CVE-2017-5715) affecte tous les processeurs dits modernes.

Le cas de la vulnérabilité Meltdown a été traité via l'implémentation d'une fonctionnalité Kernel Page Table Isolation (KPTI) permettant d'améliorer la sécurité en renforçant le confinement de l'espace utilisateur et la mémoire de l'espace noyau.

Pour Spectre, eWEEK explique qu'une mesure d'atténuation dans le noyau Linux 4.15 repose sur le code retpoline qui " permet d'éviter des fuites de données noyau à l'utilisateur, en limitant les branches indirectes spéculatives dans les processus CPU. "

failles-meltdown-spectre

Cela étant, Linus Torvalds prévient qu'il y a encore du travail en attente pour en finir avec Meltdown et Spectre. Il écrit notamment : " Vous n'avez pas seulement besoin de mises à jour du noyau, vous avez besoin d'un compilateur avec le support du modèle de branche indirecte retpoline. "

On en oublierait presque que le noyau Linux 4.15 apporte d'autres nouveautés comme par exemple au niveau de fonctionnalités avec les pilotes amdgpu, l'amélioration de la gestion de l'énergie pour des systèmes avec SATA Aggressive Link Power Management.

Pour les initiés, KernelNewbies propose un récapitulatif relativement digeste des changements avec le noyau Linux 4.15. Les plus impatients opteront pour une compilation du nouveau noyau. Les autres attendront la disponibilité dans les dépôts de leur distribution préférée.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1997955
Hé béh, ils ont bossé entre novembre et janvier:

Coolest features

Meltdown/Spectre
Modesetting and much better display support in the AMD amdgpu driver
Improved power management in systems with SATA Link Power Management
New architecture: RISC-V
Support for AMD Secure Encrypted Virtualization
Support the User-Mode Instruction Prevention Intel Security feature
Better CPU usage restrictions with the CPU resource controller for cgroupv2
New MAP_SYNC mmap(2) flag to allow direct writes to persistent memory managed by filesystems

Core
File systems
Memory management
Block layer
Tracing and perf
Virtualization
Cryptography
Security
Networking
Architectures
Drivers

Graphics
Storage
Drivers in the Staging area
Networking
Audio
Tablets, touch screens, keyboards, mouses
TV tuners, webcams, video capturers
Universal Serial Bus (USB)
Serial Peripheral Interface (SPI)
Serial
ACPI, EFI, cpufreq, thermal, Power Management
Real Time Clock (RTC)
Voltage, current regulators, power capping, power supply
Pin Controllers (pinctrl)
Multi Media Card (MMC)
Memory Technology Devices (MTD)
Industrial I/O (iio)
Multi Function Devices (MFD)
Pulse-Width Modulation (PWM)
Inter-Integrated Circuit (I2C)
Hardware monitoring (hwmon)
General Purpose I/O (gpio)
Leds
DMA engines
Hardware Random Number Generator (hwrng)
Cryptography hardware acceleration
PCI
Non-Transparent Bridge (NTB)
Clock
Various
Le #1997962
delbre a écrit :

Hé béh, ils ont bossé entre novembre et janvier:

Coolest features

Meltdown/Spectre
Modesetting and much better display support in the AMD amdgpu driver
Improved power management in systems with SATA Link Power Management
New architecture: RISC-V
Support for AMD Secure Encrypted Virtualization
Support the User-Mode Instruction Prevention Intel Security feature
Better CPU usage restrictions with the CPU resource controller for cgroupv2
New MAP_SYNC mmap(2) flag to allow direct writes to persistent memory managed by filesystems

Core
File systems
Memory management
Block layer
Tracing and perf
Virtualization
Cryptography
Security
Networking
Architectures
Drivers

Graphics
Storage
Drivers in the Staging area
Networking
Audio
Tablets, touch screens, keyboards, mouses
TV tuners, webcams, video capturers
Universal Serial Bus (USB)
Serial Peripheral Interface (SPI)
Serial
ACPI, EFI, cpufreq, thermal, Power Management
Real Time Clock (RTC)
Voltage, current regulators, power capping, power supply
Pin Controllers (pinctrl)
Multi Media Card (MMC)
Memory Technology Devices (MTD)
Industrial I/O (iio)
Multi Function Devices (MFD)
Pulse-Width Modulation (PWM)
Inter-Integrated Circuit (I2C)
Hardware monitoring (hwmon)
General Purpose I/O (gpio)
Leds
DMA engines
Hardware Random Number Generator (hwrng)
Cryptography hardware acceleration
PCI
Non-Transparent Bridge (NTB)
Clock
Various


Carrément, perso j'attends que le support des CG AMD GCN 1.0/1.1 ne soit plus au stade expérimental pour upgrader mon Kernel sur ma machine de gaming (qui tourne très bien sous Debian Buster).

Le #1997964
Effectivement y a eu du changement

Maintenant, à voir si l'implémentation de ce patch ne pose pas trop de problème...
Le #1997980
"...il y a encore du travail en attente pour en finir avec Meltdown et Spectre...">>>donc la solution proposée n'est pas définitive ?
Le #1997984
lebonga a écrit :

"...il y a encore du travail en attente pour en finir avec Meltdown et Spectre...">>>donc la solution proposée n'est pas définitive ?


C'est lié à cette partie je pense "[...]vous avez besoin d'un compilateur avec le support du modèle de branche indirecte retpoline. " mais j'ai pas compris pourquoi il dit ça.
Le #1997989
Je me pose la question de la performance aussi, puisque les correction sont affilié aussi avec une diminution de performance du aux vérifications supplémentaire.

Imaginé si le monde était tous correct, les performance qu'on aurait en retirant toutes les sécurité, firewall, antivirus, double check, analyse, ...
Le #1997992
waxime a écrit :

Je me pose la question de la performance aussi, puisque les correction sont affilié aussi avec une diminution de performance du aux vérifications supplémentaire.

Imaginé si le monde était tous correct, les performance qu'on aurait en retirant toutes les sécurité, firewall, antivirus, double check, analyse, ...


Bah.... surtout si les devs optimisaient mieux leur code, en fait.
Le #1997996
et il y a de la dégradation de perf ou pas ? Comme c'était le truc gênant déjà avec les "patches" d'Intel.

Et la gestion de 2 GPU en natif ? Viiiite, siouplaît .
Le #1998000
Subutox a écrit :

et il y a de la dégradation de perf ou pas ? Comme c'était le truc gênant déjà avec les "patches" d'Intel.

Et la gestion de 2 GPU en natif ? Viiiite, siouplaît .


Bof, 2 GPU ça sert juste à faire du passthrough, donc pas besoin de 2 pilotes, tu mets le 2ème en vfio et voilà
Le #1998005
Padrys a écrit :

Subutox a écrit :

et il y a de la dégradation de perf ou pas ? Comme c'était le truc gênant déjà avec les "patches" d'Intel.

Et la gestion de 2 GPU en natif ? Viiiite, siouplaît .


Bof, 2 GPU ça sert juste à faire du passthrough, donc pas besoin de 2 pilotes, tu mets le 2ème en vfio et voilà


Lenovo Z70-80, donc GPU intégré Intel + GPU GeForce, et malheureusement les deux sont alimentés alors que seul le GPU Intel est utilisé, je ne profite pas des perf' du GPU NVidia (qui me serait bien utile pour Google Earth et d'autres choses).
Le côté alimenté pour rien je m'en moque, je suis sur secteur, mais que le GPU NVidia soit actif, je préférerai, et ça je ne sais pas (je cherche de temps en temps).
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme