Disponible Linux 4.15 con parches para Meltdown y Spectre

El aburrimiento en el desarrollo del kernel es cosa buena, que diría Torvalds. Pero de eso hemos tenido poco en un Linux 4.15, que un par de semanas y unas cuantas versiones candidatas más tarde de lo esperado, vio ayer la luz.

El anuncio

Parte de la culpa de ese retraso, la tienen dos vulnerabilidades con nombre de villanos de DC Comics:  Meltdown y Spectre. En palabras del patrón del Kernel:

This obviously was not a pleasant release cycle, with the whole meltdown/spectre thing coming in in the middle of the cycle and not really gelling with our normal release cycle.

Linux 4.15 ha introducido diversas mitigaciones importantes, pero de alguna manera tan solo es el comienzo de una batalla que continuara en próximas ediciones del kernel. Las cuales no tendrán tan solo en cuenta el asunto de la seguridad, sino recuperar la caída en el rendimiento del sistema, que han provocado los nuevos parches.

La lucha será más dura en el caso de Spectre, donde además del núcleo juegan otros factores como el contar con un compilador (GCC), que soporte el modelo de mitigación propuesto llamado retpoline.

El propio Linus nos muestra esta línea de código con la que entretenernos:

cat /sys/devices/system/cpu/vulnerabilities/spectre_v2

Si da este resultado estamos fastidiados, ya que no soportaría dichos parches:

Vulnerable: Minimal generic ASM retpoline

En mi caso la salida de la terminal muestra:

Mitigation: Full generic retpoline

que de alguna manera suena más tranquilizador.

Los números

Según comentan en LWN.net (datos de Linux 4.15 rc5), el número de cambios han superado los 14 000 con un crecimiento neto de 318 000 líneas de código , siendo de las publicaciones más completas en ese aspecto.

En cuanto a las compañías que más han liderado la contribución al kernel, por conjunto de cambios han sido: Intel (11.3%), AMD (10.7) y Red Hat(6.7%).

Seguidos de otras corporaciones como: Google, Linaro, IBM, Oracle, Renesas Electronics, Mellanox, Linux Foundation, ARM, SUSE, Broadcom, Huavei Technologies, Canonical, Samsung y Netronome Systems.

Intel también ha tenido el honor de liderar el número de broncas por parte de Linus Torvalds.

En cuanto a desarrolladores más activos, Kees Cook y Harry Wentland, mandan en las estadísticas.

Las novedades

En este caso, las novedades más destacadas del kernel, nos las proporcionan los amigos de KernelNewbies, referencia obligada en cada lanzamiento de Linux.

Son las siguientes:

  • Nuevos parches para Meltdown (separando las tablas de paginación de la memoria del núcleo de forma completa) que compensan –en parte– la perdida de rendimiento inicial y Spectre donde debuta un mecanismo llamado retpoline, que en caso necesario puede ser desactivado en el arranque.
  • El controlador gráfico de AMD (amdgpu), incluye mejor soporte de video y es compatible con atomic modesetting (una evolución del kernel mode-setting, a la hora de fijar la resolución y otras características de la pantalla, directamente desde el kernel, en lugar del espacio de usuario). Buenas noticias para las tarjetas gráficas AMD Vega10 y Raven.
  • La llamada al sistema mmap encargada de mapear los dispositivos y archivos en la memoria, cuenta con dos nuevas opciones, al implementar MAP_SYNC y MAP_SHARED_VALIDATE, como flags.
  • Se mejora la gestión de la energía y la duración de la batería, gracias a un nuevo parche que permite la ejecución del protocolo ALPM (Aggressive Link Power Management) diseñado para el estándar AHCI de Serial ATA, sin problemas de corrupción de datos.
  • Debuta RISC-V, una arquitectura abierta, diseñado para sistemas embebidos, móviles y computación en la nube.
  • Soporte para cifrado de memoria virtual en AMD. En Linux 4.14 se introdujo el cifrado del almacenamiento de memoria (DRAM) para procesadores AMD, que protege su contenido de ataques con acceso físico al sistema. Ahora se extiende esa memoria a los sistemas virtuales con AMD Secure Encrypted Virtualization.
  • Cgroups2 ya es capaz de controlar el consumo de CPU, a través de la jerarquía de procesos y tareas.
  • User-Mode Instruction Prevention: Se trata de una característica de seguridad para procesadores Intel de nueva generación, que una vez habilitada previene de ciertas instrucciones (SGDT, SIDT, SLDT, SMSW, STR) a partir de su actual nivel de privilegios, evitando la escalada de los mismos.

Comentar por ultimo, que la versión del kernel GNU Linux Libre también está disponible, para todos aquellos que prefieran un núcleo libre de blobs binarios y firmware privativo.

10 thoughts on “Disponible Linux 4.15 con parches para Meltdown y Spectre”

  1. BlueSkull says:

    AMD dandolo todo!…, mientras Nvidia hundiendose vilmente.

  2. carlosky77 says:

    A comprar cpu y gpu marca AMD. Voy a seguir buscando un notebook con estas características.

    Dejando de hacer publicidad, si se ha descubierto estas dos vulnerabilidades en el hardware, quizá cuantas hay que aún no han sido descubiertas. SI tuviera la oportunidad de comprar un notebook “Made in Rusia” lo haría. Por lo menos me conseguí un celular Yotaphone para que los gringos malditos me espíen menos (igual viene con android) y espero algún día comprar un Purism. A todo esto ¿Purism cambiara de CPU con las vulnerabilidades de Intel?. Espero que sí

  3. Puigdemont 64bits says:

    Volvamos a DOS

  4. joaquinton says:

    ¡¡Me encanta, que no se detengan nunca!!
    Ay, y pensar que linux se actualiza de forma tan sencilla y no como las ventanitas. (ejem, ejem)

    Por cierto, se ha publicado GODOT3.0 , yo diría que es el editor de videojuegos que mejor casa con Linux.

    1. joaquinton says:

      Perdón por la publi, es que no me suena haber leído nada de GODOT por aquí y ya que es un programa Free y OpenSource. Noticias noticiaas (Estoy loco)

      1. tannhausser says:

        No, no estás loco (por lo menos más que cualquier otro linuxero 🙂 ).

        La noticia es interesante, y GODOT es posiblemente la referencia en motores de juegos open source.

        Pero la verdad, no sigo de cerca su desarrollo y no se si podría apreciar las novedades que han introducido en esta edición.

        En cualquier caso, dejo el link con las notas de lanzamiento para aquellos que esteis interesados:

        https://godotengine.org/article/godot-3-0-released

  5. gallopelado says:

    Excelente.

  6. kofi says:

    A mi esto de los parches del kernel para mitigar Spectre y Meltdown no me terminan de cuadrar, siento la info muy dispersa y no sé cual es la idónea. Hace unos días actualicé, desde Ubuntu 16.04, al kernel 4.14.15 y se me cayó el wifi, pude hacerlo volver pero me andaba muy lento por lo que, luego de una tarde completa sufriendo, decidí volver a mi kernel antiguo.

    Pero el temor a Spec… y Meltd… puede más, así que encontré esta info en el blog de ubuntu (https://tinyurl.com/ybzjag7m) donde proponen actualizaciones en el kernel según la versión de nuestra distro. Según esa info debería buscar la rama 4.4.0.111 del kernel.

    Ante lo dicho, ¿cuál actualización debo seguir?

    1. tannhausser says:

      A menos que hayas establecido las actualizaciones de kernel y stack gráfico (HWE), Linux 4.4.x es la tuya.

      Más teniendo en cuenta que Linux 4.14 te da problemas.

      Otra opción es instalar el HWE que te comentaba antes. Yo lo hice el otro día (por diferentes motivos) y es tan solo tirar una línea de comando

      sudo apt-get install –install-recommends linux-generic-hwe-16.04 xserver-xorg-hwe-16.04

      En cualquier caso y esto va para todas las distros, despreocúpate y simplemente mantén actualizado el sistema.

      Las actualizaciones llegan a todas las ramas LTS y la última del kernel.

    2. Xp4 says:

      Linux 4.14.15 ha dado problemas a todo el mundo. Han incluido en la línea de opciones del kernel el “retpoline” cuando no lo habían implementado en 4.14.15 y a partir de ahí da fallo y no carga los módulos DKMS que tuvieras instalados, muy probablemente, entre ellos el del WiFi, que por eso te falló.

      A mí me ha pasado lo mismo en Manjaro, y recomendaban usar linux 4.15, que ahí si esta el retpoline y no da fallo al cargar el resto de módulos.
      Lo hice y funcionó.

      Acaba de salir linux 4.14.16 y resto de actualizaciones para los LTS, los probaré, pero me da que, como no he tenido ningún problema en 4.15, me quedaré con él.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.