NetBSDにおけるMeltdown/Spectre対策状況
プロセッサのセキュリティ脆弱性「Meltdown」および「Spectre」に対するNetBSDの取り組みが「Recent Security Affairs|February 05, 2018 posted by Maxime Villard|Meltdown and Spectre」において伝えられました。
SVS(Separate Virtual Space:分離仮想空間)と呼ばれるMeltdown対策機能は現在開発が行われている段階にあり、最初のコードは2018年1月7日にコミットされたと説明があります。このコードはx86 64ビット(amd64)アーキテクチャを対象としたもので、現在ではコードは安定した状態だとされています。
SVSを既存の安定版ブランチにマージするにはかなりの作業が必要になるだろうという説明も掲載されています。セキュリティの確保とパフォーマンスを考慮したコードを実現するためにかなりの改善がamd64ポートに対して実施されたためで、将来のどこかの段階でバックポートすることになるだろうとされています。
Spectreに関しては、IntelおよびAMDがマイクロコードのアップデート版を公開したことを引き合いに出し、NetBSDのマイクロコードアップデート機能を使用することで、こうしたアップデート版マイクロコードを使用することが可能だと説明しています。
Intelが公開したアップデート版マイクロコードにはオペレーティングシステム側から分岐予測機能を無効化するために利用できる複数のMSRが追加されていて、Intelではこうした機能の提供をもってSpectre対策機能を提供しているという体を取っているようです。ただし、この機能が本当にSpectre対策として効果が見込めるものであるのかはよくわからないとしています。
NetBSDは新しいマイクロコードを適用することはできるものの、現段階では新しく追加されたMSRを利用する機能は提供していないと説明しています。また、Intelから公開されたマイクロコードには特定のハードウェアにおいてシステム再起動やそのほか問題を誘発することがすでに認識されており、修正にはまだ時間がかかるだろうとも指摘しています。
FreeBSD勉強会
FreeBSD勉強会 発表者募集
FreeBSD勉強会では発表者を募集しています。FreeBSDに関して発表を行いたい場合、@daichigotoまでメッセージをお願いします。30分~1時間ほどの発表資料を作成していただき発表をお願いできればと思います。