Linux 5.14 mit "geheimem" Speicher und sicherem Hyperthreading
Seite 4: ARM Pointer Authentication generalüberholt
Der neue Kernel bringt seine Unterstützung für die sogenannte "ARM Pointer Authentication" auf den neuesten Stand. Das mit ARM 8.3 eingeführte Feature nutzt die freien Bits von 64-Bit-Zeigern der ARM64-Architektur, um die Zeiger kryptographisch zu signieren und so die Sicherheit zu verbessern. Vor einem Zugriff auf einen Zeiger prüft das System die Signatur; nur wer den passenden Schlüssel hat, kann gültige Zeiger erzeugen. Durch einen Buffer-Overflow überschriebene Pointer infolge eines Programmfehlers oder "umgebogene" Zeiger bei einem Angriff können keine korrekte Signatur aufweisen. Somit können Bugs und Angriffsversuche frühzeitig erkannt und abgewehrt werden.
Die ARM Pointer Authentication ist bereits seit Linux 4.21 Bestandteil des Kernels, beschränkte sich jedoch zunächst auf Prozesse im Userspace. Seit Linux 5.7 kommt das Feature auch im Kernelspace zum Einsatz. Bislang konnte man es nur wahlweise generell ein- oder ausschalten; mit Linux 5.14 lässt es sich nun unabhängig für Userspace und Kernel konfigurieren.
Der neue Kernel beherrscht ARM8.3-PAuth2, die die "Enhanced PAC Generation Logic" umfasst. Das "Erraten" eines passenden Schlüssels ist damit noch schwerer als zuvor. Zudem ändert sich mit ARM8.3-FPAC die Fault-Logic beim Verarbeiten von ungültigen Signaturen. Diese Änderungen sind zum Erfüllen der ARM-8.3-Spezifikation zwar optional, allerdings unentbehrlich, um zukünftig ARM-8.6 zu erfüllen.
Virtualisierungs-News
In der Virtualisierungs-Infrastruktur KVM (Kernel-based Virtual Machines) auf der ARM64-Architektur können mit Linux 5.14 nicht mehr nur Host-, sondern auch Gastsysteme die "Memory Tagging Extension" (MTE) nutzen. Die MTE hängt an Zeiger einen Schlüssel an, um deren Prozesszugehörigkeit zu markieren. Vor dem Zugriff auf den Speicherbereich, auf den der Zeiger verweist, prüft das System, ob die Markierung stimmt. Andernfalls löst es einen Trap aus und der unerlaubte Zugriff wird abgewiesen. Das mit der "Pointer Authentication" konkurrierende Konzept soll Angreifern das Manipulieren von Zeigern erschweren und auch Memory-Bugs frühzeitig erkennen helfen.
Der Veteran unter den Container-Technologien "User Mode Linux" (UML) erhält einen Treiber für PCI-over-virtio. Das Hostsystem kann mit diesem Treiber seine eigenen PCI-Treiber und -Geräte an die UML-Gäste durchreichen. Die PCI-Geräte können dann vollumfänglich in den UML-Gästen angesprochen werden.
In Linux 5.14 hat außerdem ein neuer Display-Treiber namens hyperv_drm für den Direct Rendering Manager (DRM) Einzug gehalten. Dieser Treiber ist für Microsofts Synthetic Video Device in Hyper-V gedacht und bringt gerade genügend Funktionalität mit, um "Kernel Mode Setting" (KMS) unter Hyper-V zum Laufen zu bringen. Er basiert im Wesentlichen auf dem bereits existierenden Framebuffer-Treiber hyperv_fb, arbeitet jedoch als DRM-Treiber auch mit Wayland zusammen. hyperv_drm stammt vermutlich aus den Bestrebungen Microsofts, auch grafische Applikationen unter WSL2 (Windows Subsystem for Linux 2) zu ermöglichen.
Ausblick und Nachtrag
Seit dem Erscheinen von Linux 5.14 ist das Merge-Window für 5.15 offen. Die Entwickler können innerhalb der nächsten zwei Wochen Änderungen für das kommende Release einreichen. Schon vor dem Öffnen des Merge-Window galt übrigens als sicher, dass sich Linux 5.15 unter anderem mit den guten alten Diskettenlaufwerken befassen wird. Diese sind, wie die Linux-Entwicklercommunity in den letzten Monaten im Zuge vieldiskutierter Bugfixes erstaunt wahrnahm, noch immer Teil vieler älterer Systeme, die auf neue Kernel-Releases aktualisiert werden.
Abschließend ist noch erwähnenswert, dass die Problematik der sehr knappen End-of-Life-Frist des LTS (Long Term Support)-Kernels Linux 5.10, die wir unter der Überschrift "Nachhall zu 5.10" in einem früheren Kernel-Beitrag ausführlich thematisiert haben, einen positiven Ausgang genommen hat: Dank Feedback und Hilfe aus der Community konnte das EoL-Datum des LTS-Kernels mittlerweile auf die üblichen sechs Jahre verlängert werden. Aktuell gehen die Kernel-Maintainer Greg Kroah-Hartman und Sasha Levin von einem EoL im Dezember 2026 aus.
(ovw)
