______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Debian задерживает выпуск патчей для Spectre-подобных уязвимостей

Разработчики как минимум одного дистрибутива Linux задерживают выпуск обновлений, исправляющих очередные уязвимости в процессорах Intel. Причина отзыва – проблемы с лицензией.

Как ранее сообщал SecurityLab, в процессорах Intel были обнаружены три новые уязвимости класса Spectre, получившие название L1 Terminal Fault. В прошлом месяце производитель выпустил микрокод, исправляющий проблему в серверных процессорах, а теперь стали доступны исправления для десктопов.

В идеале, микрокод процессора должен обновляться прошивкой материнской платы во время загрузки. Однако производители могут замедлить выпуск патчей, поэтому устанавливать обновления также может ядро операционной системы во время запуска. Поскольку обновленный таким образом микрокод отбрасывается после каждого отключения питания, прошивка и ОС должны заново устанавливать обновления в процессе загрузки.

Как бы то ни было, для пользователей Debian процесс установки обновлений затянулся. Как сообщил разработчик дистрибутива Хенрик Холшух (Henrique Holschuh), пакеты обновлений с патчами от Intel уже готовы. Тем не менее, они не могут быть разосланы пользователям из-за добавленного компанией нового файла с лицензионным соглашением пользователя.

Помимо прочего, лицензия запрещает использовать какую-либо часть программного обеспечения без согласия на юридическую силу ее условий. Команда Debian, которая гордится своим открытым подходом к лицензированию, не согласная с такой формулировкой и потребовала ее смягчить.

Разработчики других дистрибутивов нашли способы обойти эту проблему. Например, Gentoo, скорее всего, ограничит зеркалирование ПО и, прежде чем продолжить, попросит пользователей принять лицензионное соглашение Intel. SUSE, Arch и Red Hat согласятся на уведомление мелким шрифтом.

Зачем Intel понадобилось обновлять лицензию, непонятно. Как сообщил изданию The Register вице-президент и генеральный менеджер Intel Open Source Technology Center Имад Соусоу (Imad Sousou), заявление разработчиков Debian, будто они не могут разослать пакеты микрокодов, не соответствуют правде.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх