Linux 6.14.7 учит процессоры молчать — ни один хакер теперь не заглянет в прошлое ARM64

Разработчики выпустили обновления для нескольких версий ядра Linux: 6.14.7, а также других поддерживаемых релизов. Особое внимание в новых сборках уделили устранению уязвимости в системах на базе процессоров ARM64.

Речь идёт о бреши Training Solo , обнаруженной на прошлой неделе. Она затрагивает процессоры Intel и некоторые модели ядер Arm. В основную ветку Linux добавили патч, реализующий механизм защиты от атак через Branch History Buffer (BHB) для классического Berkeley Packet Filter (cBPF).

Изменения касаются кода, который формируется методом JIT-компиляции для программ cBPF. Такие программы могут загружать пользователи без привилегий через различные функции, включая seccomp. Существующие способы отключения защиты от BHB-атак также предотвратят внедрение механизмов безопасности в JIT-компилируемый код.

При этом программы cBPF, загруженные процессами с правами SYS_ADMIN, не подвергаются дополнительной защите, поскольку они уже могут использовать eBPF-программы с аналогичным функционалом. Разработчики также обновили список значений параметра 'k' для локальных механизмов защиты процессоров — новые данные взяты с официального сайта Arm.

Патчи для платформы ARM64 включены в сегодняшние релизы ядра: базовую версию 6.14.7 , версии с долгосрочной поддержкой 6.12.29 LTS , 6.6.91 LTS и 6.1.139 LTS . Эти же механизмы появятся в готовящемся релиз-кандидате Linux 6.15-rc7, выход которого ожидается в ближайшие часы.