Laut Greg Kroah-Hartman versuchen zahlreiche “überarbeitete, schlecht gelaunte, unausgeschlafene und generell angepisste Kernel-Entwickler” alles, um die Probleme mit Meltdown und Spectre, die sie selbst nicht verursacht haben, zu beheben. Sein Blogbeitrag gibt ein Update zum Stand der Dinge.
Wenn selbst die Daily Mail über ein Computerproblem berichtet, müsse es ernst sein, scherzt Kernel-Veteran Greg Kroah-Hartman in seinem Post, um sich dann dem aktuellen Status der Patches für Meltdown und Spectre zu widmen. Nicht aber ohne zuvor anzumerken, dass die Kommunikation zwischen den Unternehmen und den Kernel-Entwicklern alles andere als lehrbuchhaft verlaufen sei. Allerdings sei gerade wenig Zeit, sich dieser Baustelle zuzuwenden.
Generell lautet seine Empfehlung, in den nächsten Tagen und Wochen die Kernelupdates der großen Distributionen einzuspielen. Wer diese nicht nutze, dem soll sein Statusupdate weiterhelfen, das sowohl Meltdown als auch Spectre adressiert.
Meltdown-Patches
Für Meltdown enthalte Linus Kernel-Tree alle bisherigen Fixes für die x86-Architektur. Es sollte daher genügen, den Kernel mit der aktivierten Buildoption “CONFIG_PAGE_TABLE_ISOLATION” neu zu bauen. In 4.15-rc7 sollten dann auch die letzten Patches drin stecken.
Da die meisten Nutzer allerdings keine Entwickler-Kernel einsetzen, haben die KPTI-Entwickler den Code auf Kernel 4.14 zurückportiert, so dass in der Version 4.14.12 bereits viele Patches stecken. Sollte nach deren Applizierung das System nicht mehr booten, so wie es bei einigen Systemen der Fall zu sein scheint, soll Version 4.14.13 weitere Patches mitbringen, um dieses Problem zu beheben.
Entwickler haben die Patches zudem für die stabilen älteren LTS-Kernel 4.4 and 4.9 zurückportiert, für die sich nun ebenfalls die Option “CONFIG_PAGE_TABLE_ISOLATION” aktivieren lässt. Allerdings funktionieren die Patches bei diesen anders und man kämpfe bei einigen Systemen noch mit Randerscheinungen.
Wer allerdings einen anderen Kernel als 4.4, 4.9 oder 4.14 verwende und keinen Support durch eine Distribution erhalte, habe schlicht Pech, stellte Greg Kroah-Hartman fest. Die fehlenden Meltdown-Patches seien in diesem Fall aber das kleinste Problem, ein System-Update sei in diesem Fall dringend empfohlen.
ARM64
Für die ARM64-Architektur gibt es noch keine Patches in Linus’ Kernelzweig. Die stehen aber wohl bereits Spalier und sollen im Kernel 4.16-rc1 landen. ARM64-Nutzer verweist Kroah-Hartman so lange auf den Android Common Kernel Tree, denn alle ARM64-Fixes seien in den Versionen 3.18, 4.4 und 4.9 gelandet. In die offiziellen LTS-Kernel 4.4 und 4.9 werden es die Patches aber wohl nicht schaffen, weil dazu zu viele vorbereitende Patches nötig seien. Der “android-commons”-Kernel sei daher die bessere Option.
Spectre in Arbeit
Wer einen Distro-Kernel nutze, könne die von den Distributionen angebotenen Patchs testen, die das Problem verhindern sollen. Im Upstream-Kernel stecken hingegen noch keine Patches. Zurzeit würden zahllose Patches die Runde machen, aber hier herrsche ziemliche Verwirrung. Einige Patches lassen sich nicht bauen oder in existierende Trees integrieren, die Serien stehen in Konflikt zueinander und so weiter.
Grund sei unter anderem, dass sich die Kernel-Entwickler zunächst mit Meltdown beschäftigt hätten, weil es zu wenig Informationen zu Spectre gegeben habe. Die umher geisternden Patches seien zudem von schlechter Qualität gewesen, so dass es wohl noch ein paar Wochen dauern wird, bis die Entwickler das Problem gelöst haben und Patches im Kernel landen.
Hier bleibe also zunächst nichts anderes übrig, als erstmal abzuwarten, wobei auch die anderen Betriebssysteme noch keine vollständige Lösung zu haben scheinen. Für Architekturen abseits von x86 und ARM64 hätte er allerdings noch keine Patches gesehen, lediglich von welchen gehört, die in Unternehmen entwickelt würden.
Die vorgeschlagenen Lösungen, um Spectre zu entschärfen, seien nicht trivial, aber einige erstaunlich gut, wie etwa ein “Retpoline”-Post von Googles Paul Turner zeige. Google arbeite an einem völlig neuen Konzept, um das Problem zu lösen, in den nächsten Jahren werde es in dieser Richtung wohl einiges an Forschung geben.




