Linus Torvalds aumenta le prestazioni di Linux del 2,6% con una patch di 21 righe

Linus Torvalds aumenta le prestazioni di Linux del 2,6% con una patch di 21 righe
La patch per Linux è una riscrittura di una modifica originariamente proposta dallo sviluppatore di Red Hat Josh Poimboeuf, successivamente migliorata da Linus Torvalds per aumentarne la velocità.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Una piccola modifica al codice da parte di Linus Torvalds sta portando a un miglioramento misurabile nelle prestazioni multithread di Linux. Il commit, denominato “x86/uaccess: Avoid barrier_nospec() in 64-bit copy_from_user()”, è un aggiornamento di sicurezza pensato per contrastare vulnerabilità note come le falle Meltdown e gli attacchi Spectre emersi nel 2018.

La patch è una riscrittura di una modifica originariamente proposta dallo sviluppatore di Red Hat Josh Poimboeuf, successivamente migliorata da Torvalds per aumentarne la velocità. “Il test del kernel riporta un miglioramento del 2,6% nel benchmark per_thread_ops,” ha scritto Torvalds nel commit.

Nella nuova versione, Torvalds evita l’uso dell’API barrier_nospec(), che impedisce l’esecuzione speculativa di alcune istruzioni di macchina. L’esecuzione speculativa è una caratteristica dei moderni processori, che utilizzano la previsione delle ramificazioni per anticipare quale codice sarà eseguito, così da elaborarlo e memorizzarne i risultati in anticipo. Sebbene questo processo possa velocizzare le operazioni, apre anche la porta a problemi di sicurezza, su cui gli esperti lavorano da anni.

Linus Torvalds Linux

Al posto di barrier_nospec(), nel caso di un indirizzo non valido nella chiamata copy_from_user(), la nuova versione del codice usa il pointer masking per restituire un indirizzo composto da soli 1.

Queste difese sono una “necessità scomoda”, particolarmente per i server web e i dispositivi simili che utilizzano Linux, che devono essere protetti da ogni possibile attacco, anche a costo di ridurre le prestazioni. Torvalds è noto per la sua avversione nei confronti di queste misure che penalizzano la velocità del sistema.

Sui computer locali, come desktop o laptop, che non accettano connessioni in entrata, è possibile disattivare queste difese, migliorando così le prestazioni con un rischio relativamente basso (sempre se si è consapevoli di quello che si sta facendo).

codice di sviluppoLinuxsistemi operativi
// Data pubblicazione: 07.11.2024
Condividi:
 

Una vulnerabilità di OpenSSH mette a rischio 700.000 server Linux. C’è anche il tuo tra loro?

Una vulnerabilità di OpenSSH mette a rischio 700.000 server Linux. C’è anche il tuo tra loro?
Lo sfruttamento efficace di questa vulnerabilità di OpenSSH potrebbe consentire agli intrusi di ottenere privilegi a livello di root sul sistema compromesso.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

I sistemi Linux che si basano su Glibc sono attualmente esposti a una nuova vulnerabilità (CVE-2024-6387) nel componente server di OpenSSH, noto come sshd.

Un team di ricercatori di Qualys ha rivelato che sshd è suscettibile a una condizione di competizione (race condition) che potrebbe potenzialmente permettere a un attaccante non autenticato di eseguire codice arbitrario da remoto su un vasto numero di sistemi target, stimato in centinaia di migliaia di server Linux. Lo sfruttamento efficace di questa vulnerabilità potrebbe consentire agli intrusi di ottenere privilegi a livello di root sul sistema compromesso, dando loro virtualmente carta bianca per compiere qualsiasi azione malevola.

Questa falla di sicurezza, battezzata “regreSSHion” dai ricercatori (un gioco di parole che allude sia alla regressione che a SSH), rappresenta in realtà la ricomparsa di una vulnerabilità precedentemente corretta nel 2006 (CVE-2006-5051).

La vulnerabilità colpisce principalmente i sistemi che utilizzano la libreria glibc, con architetture a 32 bit confermate come vulnerabili e quelle a 64 bit considerate probabilmente a rischio. OpenBSD risulta invece immune a questa minaccia grazie a una modifica di sicurezza implementata nel lontano 2001.

vulnerabilità OpenSSH

Il meccanismo della vulnerabilità si innesca quando un client non completa l’autenticazione entro un intervallo di tempo predefinito (LoginGraceTime), attivando un gestore di segnali che può invocare funzioni non sicure in un contesto asincrono, come syslog(). Questo comportamento apre la porta a potenziali attacchi che potrebbero portare all’esecuzione di codice arbitrario con privilegi elevati.

Sebbene le potenziali conseguenze di un attacco riuscito siano estremamente gravi, l’effettiva esecuzione dell’exploit si è dimostrata impegnativa e time-consuming. In condizioni di laboratorio, i ricercatori hanno impiegato da tre a otto ore e migliaia di tentativi per sfruttare con successo la vulnerabilità e ottenere una shell con privilegi di root.

Gli esperti raccomandano in ogni caso di applicare tempestivamente le patch di sicurezza disponibili (Ubuntu e NixOS) e di implementare misure di protezione aggiuntive come limitare l’accesso SSH attraverso controlli basati sulla rete, segmentare le reti per isolare i sistemi critici e implementare sistemi di monitoraggio per rilevare tentativi di exploit.

Bugserver linuxVulnerabilità
Aziende:
Qualys
// Data pubblicazione: 02.07.2024
Condividi: