Linuxeden开源社区对于一些较新的 Arm 内核设计,Arm 正在将 Linux 内核更改为默认启用内核页表隔离 “KPTI” (如果未在新固件版本上运行),以适当缓解最近披露的 CPU 安全问题。此更改已排队,预计将在即将推出的 Linux 6.15 内核中更改默认值。
许多人仍然围绕着 Meltdown 时期的 Page Table Isolation 缓解成本做噩梦……不幸的是,如果没有具有替代缓解策略的新固件,那么一些较新的 Arm 核心设计需要它。
早在 1 月,Arm 就公开了 CVE-2024-7881。他们在披露中描述了 CVE-2024-7881:
“在一些基于 Arm 的 CPU 中发现了一个问题,该问题可能允许非特权上下文触发依赖于数据内存的预取引擎来获取特权位置(它没有读取权限)的内容,并将这些内容用作同样被取消引用的地址。
…
Arm 建议其合作伙伴尽快通过设置 CPUACTLR6_EL1[41] 来禁用受影响的预取程序。Trusted Firmware-A 的更新可实现此功能。启用 KPTI 将有助于在尚未收到固件补丁的系统上防止此问题。为此,Arm 更新了 SMC 呼叫约定规范,以便特权正常世界软件可以识别固件 (SMCCC_ARCH_WORKAROUND_4) 中的问题何时得到缓解。
在即将到来的 Linux 6.15 周期中,Linux 内核准备在受影响的 CPU 型号上默认应用内核页表隔离(如果未加载新固件)。
受影响的 Arm CPU 包括 Cortex X3、Cortex X4、Cortex X925、Neoverse V2 和 Neoverse V3。
Arm 的这个补丁已在 Linux 6.15 合并窗口之前排队到 ARM64“for-next/core”Git 分支中。
“在 Arm Ltd 的某些 CPU 上,非特权代码可能会导致硬件预取器使用内存位置的内容形成一个地址,该内存位置可通过主动转换机制中的特权访问访问,从而可能通过侧信道泄露此内存位置的内容。
…
在尚未收到固件更新的系统上,启用 KPTI 将有助于缓解此问题。此补丁在缺少 SMCCC_ARCH_WORKAROUND_4 表示缺少固件解决方法的受影响部件上启用 KPTI。如果存在 SPE 和/或 TRBE,这将隐式禁用它们。
因此,如果受影响的型号上没有可用的更新固件,那么 KPTI 性能的噩梦很遗憾地回到了较新的 Arm CPU。
转自 Arm Changing Linux Default To Costly “KPTI” Mitigation For Some Newer CPUs – Phoronix