Aus Linux-Magazin 01/2026

Linux 6.17 im Überblick

© welcomia / 123RF.com

Linux 6.17 macht SMP zum Standard und führt AMDs Attack Vector Controls ein, womit sich der CPU-basierte Schutz gegen Angriffe besser steuern lässt.

Ende September erschien mit Linux 6.17 nach sieben Release-Kandidaten der vorletzte Kernel des Jahres 2025 [1]. Der Zyklus endete mit 13 089 Einreichungen von 2038 Entwicklern, von denen 298 ihren ersten Beitrag zum Kernel leisteten. Bei den Beiträgen von Unternehmen hat Intel die Nase vorn, mit über zehn Prozent der Einreichungen. Hier darf man gespannt sein, wie sich die aktuellen Nachrichten über die gestrafften Open-Source-Richtlinien des Unternehmens (Abbildung 1) auf kommende Kernel-Versionen auswirken [2]. Die Statistik verrät zudem einen kleinen, aber erkennbaren Trend: Der Anteil an C-Code sinkt in letzter Zeit minimal, Rust-Anteile nehmen vor allem durch fortgesetzte Tests leicht zu.

Abbildung 1: Im Intel-Hauptquartier sind dem Vernehmen nach neue Open-Source-Richtlinien in der Diskussion. Quelle: Intel

Abbildung 1: Im Intel-Hauptquartier sind dem Vernehmen nach neue Open-Source-Richtlinien in der Diskussion. Quelle: Intel

Behutsame Pflege

Kernel 6.17 ist kein Release mit bahnbrechenden Neuerungen, sondern ein solides Update, das zahlreiche Baustellen konsolidiert und wie gewohnt neue Hardwarelinien verschiedener Hersteller integriert. Bemerkenswert: Die Kernel-Entwicklung gilt mittlerweile offenbar als so solide, dass Canonical Ubuntu 25.10 mit dem Release-Kandidaten 6.17-rc7 veröffentlichte – die stabile Upstream-Veröffentlichung von Linux 6.17 erfolgte erst nach dem Kernel-Freeze für “Questing Quokka”.

@:Wenden wir uns als Erstes den Entwicklungen in den einzelnen Subsystemen von Linux 6.17 zu. Im Fokus standen Verbesserungen an den Treibern, der Virtualisierung und den Dateisystemen, weniger an den Kernmechanismen.

CPUs und Grafik

Linux 6.17 macht Symmetric Multi-Processing (SMP) mit dem Flag »CONFIG_SMP=y« bedingungslos zum Standard und setzt damit ausschließlich auf Multicore-Unterstützung. Wer weiterhin Uniprozessorsysteme mit nur einem CPU-Kern unter einem aktuellen Kernel betreiben möchte, kann den Kernel ohne SMP-Unterstützung bauen. Der Wegfall von Nicht-SMP-Patches bereinigt den Scheduler-Code und entfernt überflüssige Komplexität [3].

Nvidia-Entwickler Yury Norov brachte mehrere Verbesserungen und Vereinfachungen für SMP-Funktionsaufrufe ein. Er optimierte mit wenigen Zeilen Code die Funktion »smp_call_function_any()«, die jetzt nicht mehr willkürlich eine CPU auswählt, sondern stattdessen »sched_numa_find_nth_cpu()« verwendet. Dadurch landet ein Job eher auf einer CPU, die besser zur Datenlage passt. Insgesamt verbessert der Patch die NUMA Awareness [4] und sorgt für effizientere und klarere SMP-Work-Dispatch-Mechanismen im Kernel. Das verbessert die Performance und Wartbarkeit bei parallelen Funktionsaufrufen auf mehreren CPUs [5].

Mit den von AMD-Entwickler David Kaplan entwickelten Attack Vector Controls (AVC) zieht ein neues Framework zur flexiblen Steuerung von CPU-Sicherheitsmaßnahmen gegen verschiedene Angriffsszenarien in den Kernel ein. Statt viele einzelne Mitigationen für CPU-Schwachstellen wie Spectre, Meltdown oder Retbleed einzeln zu konfigurieren, fasst AVC sie in fünf Kategorien basierend auf Angriffspfaden zusammen (siehe Tabelle “Attack Vector Controls”). So können Administratoren mit einem einzigen Kernel-Parameter »mitigations=« ganze Gruppen von Schutzmaßnahmen gezielt (de-)aktivieren [6].

Kategorie

User-to-Kernel

Attacken, bei denen ein Angreifer aus dem Userspace versucht, über eine Sicherheitslücke in den Speicher oder Code des Kernels zu gelangen.

User-to-User

Szenarien, bei denen ein Angreifer von einem Benutzerprozess auf andere Benutzerprozesse zuzugreifen versucht.

Guest-to-Host

Angriffe, bei denen eine VM (Gast) versucht, über Schwachstellen in der Virtualisierungs- oder Hardwareumgebung den Host (Hypervisor oder physikalisches System) anzugreifen.

Guest-to-Guest

Angriffsszenarien, bei denen eine VM versucht, auf andere auf demselben Host laufende VMs zuzugreifen oder sie zu kompromittieren.

Cross-Thread

Angriffe, die durch das Ausnutzen spekulativer Ausführung oder geteilter Ressourcen zwischen Threads derselben CPU entstehen, zum Beispiel durch Side-Channel-Angriffe via Cache oder andere Mikroarchitekturkomponenten.

Nach einem Jahr in der Entwicklung bei AMD verfeinert das Hardware Feedback Interface (HFI) das Scheduling einzelner CPU-Kerne in Echtzeit. Es liefert dem Betriebssystem Informationen über Leistungsfähigkeit und Energieeffizienz der einzelnen Kerne: »amd_hfi« stellt eine Bewertung der Performance- und Energieeffizienz jedes Kerns als Wert von 0 bis 255 bereit. Er kann sich zur Laufzeit ändern, etwa durch thermische Ereignisse oder Energiesparmodi. Das Betriebssystem reagiert darauf, indem es Aufgaben so verschiebt, dass die verfügbaren Ressourcen optimal zum Einsatz kommen [7].

Eine Ergänzung zu Secure Boot stellt UEFI SBAT dar, das die Linux-Community und Microsoft gemeinsam entwickelt haben. Es ermöglicht das gezielte Sperren unsicherer oder kompromittierter Boot-Komponenten. Der Mechanismus verbessert die Secure-Boot-Widerrufe von UEFI-Binärdateien durch die Einführung einer generationsbasierten Technik. Die Methode verhindert das Booten kompromittierter oder anfälliger UEFI-Binärdateien durch Heraufsetzen der minimal erforderlichen Generationsnummer für die jeweilige Komponente im Bootloader [8].

Intel

Intel unterstützt in Linux 6.17 erstmals die neuen Prozessorserien “Wildcat Lake” und “Bartlett Lake-S”. “Wildcat Lake” ist vor allem für schlanke Laptops und Mini-PCs vorgesehen, während es sich bei “Bartlett Lake-S” um eine Budget-CPU ohne integrierte GPU und ohne Effizienzkerne für Netzwerkanwendungen handelt. Zudem führt Intel Treiberunterstützung für Error Detection and Correction (EDAC) bei den Serien “Granite Rapids D”, “Wildcat Lake”, “Bartlett Lake” und “Raptor Lake HX” ein.

Für Intels “Panther Lake” gibt es gleich mehrere Verbesserungen. Neben der jetzt standardmäßig aktivierten Unterstützung für die Intel-Xe3-Grafik erhielt die Plattform einen IPU7-Treiber für Webcams in Notebooks [9] sowie Unterstützung für Perf Profiling [10]. Die Unterstützung von SmartMux bei AMD-Hybrid-GPU-Laptops ermöglicht den automatischen Wechsel zwischen integrierter und diskreter Grafik je nach Arbeitslast [11].

Neu ist auch der Support für Single Root I/O Virtualization (SR-IOV) für Intels Arc-Pro-GPUs mit “Battlemage”-Architektur, was die GPU-Virtualisierung bei bestimmten Workloads verbessert. Diese Technologie erlaubt mehreren VMs nativen Zugriff auf dieselbe physische Hardware ohne Umweg über den Hypervisor. Das reduziert den Overhead bei der Virtualisierung stark, was die CPU-Last senkt und die I/O-Leistung sowie die Latenz verbessert.

Der offene Nvidia-Grafiktreiber Nouveau erhielt eine wichtige Stabilitätsverbesserung: Es wurde ein langjähriges Problem im GPU-Fehlerbehandlungs- und Wiederherstellungscode behoben, das bei Fehlern zu Endlosschleifen oder unvollständigen GPU-Resets führte. Weitere kleinere Verbesserungen im Grafiksubsystem betreffen die Treiber Panfrost und Panthor für ARM-Mali-GPUs (Abbildung 2). Ebenfalls für ARM aktiviert der Kernel erstmals den System Management Controller (SMC) auf Apple-M1/2-SoCs, was saubere Neustarts und Shutdowns erlaubt.

Abbildung 2: ARM-Cortex-SoC mit Mali-GPU. Quelle: CC0 1.0 Universal

Abbildung 2: ARM-Cortex-SoC mit Mali-GPU. Quelle: CC0 1.0 Universal

Dateisysteme und Storage

Entwickler bei Huawei tragen eine Serie von Patches für eine bessere Skalierbarkeit des Ext4-Blockzuweisungscodes bei, die zu spürbar höherer Performance bei I/O-intensiven Aufgaben wie Datenbankabfragen oder großen Dateioperationen führen. Im selben Patchset steckt noch eine Fehlerbereinigung für unzureichende Credits beim Zurückschreiben großer Folios (mehrseitige Speicherblöcke [12]).

Bei Btrfs sorgen Patches von Suse-Entwickler Qu Wenruo für eine experimentelle Unterstützung von Large-Folios, die den Speicherverwaltungsaufwand bei großen Dateien reduzieren. Zusätzlich gibt es neue Optionen zur Kompressionskontrolle während der Defragmentierung, was die Eignung für leistungssensitive Workloads verbessert [13].

Der NTFS3-Treiber der Firma Paragon beherrscht jetzt Symlinks, die unter Windows auf NTFS-Partitionen erstellt wurden und die der NTFS3-Treiber bislang nicht korrekt verarbeitete. Wenige Zeilen Code haben das Problem jetzt behoben. Des Weiteren behandelt NTFS3 nun die Erstellung von Symlinks mit relativen Pfaden korrekt [14].

Nachdem über das Jahr hinweg immer wieder diskutiert wurde, Apples Dateisystem wegen schlechter Betreuung und vieler Fehler fallen zu lassen, gibt es nun einige Fehlerbereinigungen im Apple-HFS/HFS+-Treiber [15]. SSDs profitieren generell vom effizienteren Überschreiben eines Bereichs mit Nullen auf modernen NVMe-SSDs oder SCSI-Laufwerken [16].

Verschiedene Subsysteme

Das Speichermanagement des Kernels erhielt einige Optimierungen. So vereinfacht das neue Kernel-Modul »DAMON_STAT« die Überwachung von Memory-Management-Aktivitäten, was Administratoren beim Monitoring unterstützt [17]. Ein kleiner, aber wichtiger Fix betrifft ELF-Dateien: Er erhöht das Limit für Programm-Header, um eher seltene Build-Szenarien mit 4K-Seiten zu entlasten, etwa auf ARM64. Der Berkeley Packet Filter (BPF) unterstützt nun auch die chinesische Prozessorarchitektur Loongarch, die in staatlichen Linux-Distributionen eine wachsende Rolle spielt [18].

In Sachen Sicherheit beseitigten Entwickler im Bluetooth-Stack mehrere Use-After-Free-Fehler und Race-Conditions, die sich über speziell gestaltete Pakete ausnutzen ließen. Der Hibernation-Code, der seit Linux 6.16 gelegentlich Systeme in Deadlocks schickte, wurde repariert. Im Bereich Netzwerk steht der DualPI2-Algorithmus nun als neue Congestion-Control-Option bereit, um Latenzspitzen im WAN-Verkehr besser auszugleichen. Multipath TCP (MPTCP) versteht jetzt die Socket-Option »TCP_MAXSEG«, womit sich die Segmentgröße pro Pfad gezielt anpassen lässt.

Trivia

Was sich bereits länger andeutete, wird nun zur Gewissheit: Linus Torvalds wirft nach anhaltenden Unstimmigkeiten mit dessen Entwickler Kent Overstreet über Codequalität und Wartungskonzept das Next-Gen-Dateisystem Bcachefs aus dem Kernel. Mit Linux 6.17 erhielt es den Status “externally maintained”. Im Merge-Window zu Linux 6.18 kündigte Torvalds nun an, den Code zu entfernen; Bcachefs werde als DKMS-Modul weiterentwickelt.

Auch die Einreichungen zu neuen Funktionen für RISC-V fanden in Torvalds gestrengen Augen keine Gnade. Er lehnte sie ab, weil sie spät kamen und er die Qualität der Einreichungen als schlecht beurteilte. Er bezeichnete Teile des Codes sogar als Müll. Besonders störte ihn, dass die Änderungen Code enthielten, der nicht spezifisch für RISC-V war, sondern in generische Header-Dateien eingriff [19].

Fazit und Ausblick

Linux 6.17 ist ein unaufgeregter Kernel, was Linus Torvalds vermutlich gut in den Kram gepasst hat: Er war während großer Teile des Entwicklungszyklus hauptsächlich privat auf Reisen. Linux 6.18 kommt Ende November oder Anfang Dezember in stabiler Version und erfährt als letzter Kernel des Jahres 2025 mit ziemlicher Sicherheit Langzeitunterstützung. Wir können uns unter anderem auf erweiterte Unterstützung und Optimierungen für AMD- und Intel-Hardware freuen. Dazu zählen bessere Grafiktreiber für AMD-Radeon-GPUs, Optimierungen für Intel-Hybridarchitekturen sowie Fortschritte im Bereich neuer Rust-Treiber. (uba/jlu)

Infos

  1. Release Notes: https://lkml.org/lkml/2025/9/28/461?ref=news.itsfoss.com
  2. Intel: https://linuxnews.de/intel-strafft-seine-open-source-richtlinien/
  3. SMP: https://lore.kernel.org/lkml/aIcdTI3e04W_RdM_@gmail.com/
  4. NUMA: https://www.kernel.org/doc/html/v4.18/vm/numa.html
  5. NUMA-Lokalität: https://git.kernel.org/pub/scm/linux/kernel/git/tip/tip.git/commit/?h=smp/core&id=5f295519b42f100c735a1e8e1a70060e26f30c3f
  6. AVC: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/Documentation/admin-guide/hw-vuln/attack_vector_controls.rst?id=04d29e3609b62896b94b60250d475f8f7c15db98
  7. HFI: https://github.com/torvalds/linux/blob/master/Documentation/arch/x86/amd-hfi.rst
  8. UEFI SBAT: https://github.com/rhboot/shim/blob/main/SBAT.md
  9. IPU7: https://lore.kernel.org/lkml/20250731172724.5de121a3@sal.lan/
  10. Perf: https://perfwiki.github.io/main/
  11. AMD: https://lore.kernel.org/dri-devel/20250717213827.2061581-1-alexander.deucher@amd.com/T/#u
  12. Ext4: https://lore.kernel.org/lkml/20250729033748.GA367490@mit.edu/
  13. Btrfs: https://git.kernel.org/pub/scm/linux/kernel/git/kdave/linux.git/commit/?h=for-next&id=9b1bf3ff26bdf9a7b8d568f9ea0f6a996d947111
  14. NTFS: https://lore.kernel.org/lkml/20250725135411.4064-1-almaz.alexandrovich@paragon-software.com/T/#u
  15. HFS: https://lore.kernel.org/lkml/a557f6d129ea4cb7ab1d1ed2232bfa811810abe2.camel@dubeyko.com/
  16. SSDs: https://lore.kernel.org/lkml/20250725-vfs-fallocate-91b9067277e8@brauner/
  17. Speichermanagement: https://lore.kernel.org/lkml/20250730152806.16f5c618e3af0d3b8dea3159@linux-foundation.org/
  18. Loongarch: https://lore.kernel.org/lkml/20250730131257.124153-1-duanchenghao@kylinos.cn/T/
  19. RISC-V: https://lore.kernel.org/lkml/CAHk-=wjLCqUUWd8DzG+xsOn-yVL0Q=O35U9D6j6=2DUWX52ghQ@mail.gmail.com/
DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 3 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben