Linuxeden开源社区回到去年,一位 AMD 工程师一直在追求“Attack Vecotr Controls”,以重新思考 CPU 安全缓解处理。Attack Vector Controls 旨在通过关注漏洞的类别/范围而不是在单个级别管理缓解措施来更轻松地管理 CPU 安全缓解设置。看起来最初的攻击向量控制代码将在即将到来的 Linux 6.16 周期中准备好成为主流,但尚未完成实现。
在 Linux 6.15 中,对攻击向量控制进行了一些准备工作,而本周,许多攻击向量控制补丁被排入 tip/tip.git 的 x86/bugs 分支。在即将到来的 Linux 6.16 合并窗口之前,补丁现在位于 TIP 分支中,看起来这些补丁可以准备好提交下一个合并窗口。
这些是攻击媒介控制的“第 1 部分”补丁。AMD 工程师 David Kaplan 解释说:
“这些补丁重构了现有的缓解选择逻辑,以使用一组统一的函数。首先,为每个缓解措施调用 “select” 函数以选择合适的缓解措施。除非使用命令行选项明确选择或禁用缓解措施,否则默认缓解措施为 AUTO,然后“select”函数将选择最佳缓解措施。为每个缓解措施调用“select”函数后,某些缓解措施会定义一个“update”函数,该函数可用于根据其他缓解措施所做的选择来更新选择。最后,调用 “apply” 函数以启用所选缓解措施。
这种结构简化了缓解控制逻辑,尤其是当多个漏洞之间存在依赖关系时。
现在,让其余的 Attack Vector Controls 支持越过终点线…