Nach einer einwöchigen Extrarunde veröffentlichte Linus Torvalds gestern den Linux-Kernel 5.4. Neben den Lockdown-Patches landete der IMA-Support im Kernel.
Die meisten der nun eingebrachten Änderungen zeichneten sich bereits mit der Veröffentlichung des ersten Release Candidate ab (Linux-Magazin berichtete). Die Patches aus dem „next-lockdown“-Branch für Linux 5.4 stammen von Matthew Garrett, David Howells und weiteren Entwicklern. Sie sollen „die Grenze zwischen PID 0 und dem Kernel stärken“. Die Mechanismen setzen verschiedene Distributionen bereits seit ein paar Jahren in ähnlicher Form ein. Die Patches für Linux 5.4 sorgen dafür, dass der Lockdown-Prozess nicht mehr am EFI-Secure-Boot-Feature hängt. Zudem wird Lockdown jetzt als Linux-Security-Modul implementiert.
Ebenfalls zur Sicherheit tragen Patches für die Integrity Measurement Architecture (IMA) von Mimi Zohar bei. Sowohl das Kexec-Kernelimage als auch das Initramfs dürfen jetzt für ihre Signaturen die Skripte und Tools verwenden, mit denen Entwickler ihre Kernel-Module signieren.
Laut Commit-Nachricht waren einige Umbauten an der Codebasis nötig, damit die IMA die Signaturen über das existierende Framework auswertet, um sie zum Beispiel an das Trusted Platform Module zu übermitteln. Die Entwickler haben den für angehängte Signaturen zuständigen Verifizierungs-Code mehrfach überarbeitet. Ein Vorteil der Mühen: Diese Arbeiten ebnen nun auch den Weg, um weitere Verifizierungsmethoden einzuführen.
Aktives Chaos
In bestimmten Fällen warteten Gnomes Display-Manager GDM und „gnome-session“ im frühen Bootprozess vergeblich darauf, dass das System über „getrandom()“ Zufallswerte liefert. Linus Torvalds störte sich offenbar daran und legte selbst Hand an den zugehörigen Code von „random.c“. Die Idee: Aktiv Zufallswerte zu sammeln, wenn das System keine liefert. Das Ergebnis lässt sich auf Git besichtigen.
Dateisystem-Updates
Eric Biggers lieferte kurz nach der Release von Kernel 5.3 Patches für einen „fs-verity“-Support in Ext4 und F2FS. Im Vergleich zum Patchset vom Vorjahr sei es laut Biggers nun wesentlich einfacher, über das UAPI „fs-verity“ für eine Datei zu aktivieren. Neben dem Code brachte er auch etwas Dokumentation für das Dateisystem-Subsystem in den Kernel ein.
Für Ext 4 warten noch weitere Ergänzungen. So erlaubt es ein neuer Debugging-Helfer dem Userspace, Informationen über den Status des Extent-Status-Cache zu erhalten. Zugleich haben die Entwickler einen Workaround für den richtigen Umgang mit falsch kodierten Daten für den Zeitraum vor 1970 entfernt. Das Dateisystem F2FS übernimmt derweilen die Verbesserungen an der Groß- und Kleinschreibung, die Ext4 erst kürzlich einführte.
Ganz neu an Bord ist Microsofts Exfat-Treiber: Das Unternehmen veröffentlichte vor kurzem die Spezifikationen dafür und übergab die mit dem Treiber verbundenen Patente in die Obhut des Open Invention Networks (OIN). Im nächsten Schritt soll Exfat dann im Linux-Kernel aufschlagen. Dafür braucht es allerdings noch einige Arbeit, weshalb der Treiber zunächst im Staging-Subsystem landet.
In die andere Richtung, nämlich aus dem Kernel hinaus, wandern die Treiber für „uwb“ und „wusb“ (Wireless USB Support). Es gibt keine Geräte dafür, der Code wird schon seit Jahren nicht mehr gepflegt. Daher soll er zunächst im Staging-Bereich zwischenparken und, wenn sich niemand beschwert, den Kernel am Ende komplett verlassen.
Malereibedarf
Der AMDGPU-Kerneltreiber von David Airlie bringt nun zwar Support für Navi 12 und 14 mit, allerdings gilt dieser noch als experimentell. Entwickler müssen ihn in Kernel 5.4 über ein spezielles Flag aktivieren. Ersten Support gibt es zudem für AMDs geplante GPU mit den Namen Arcturus. Seine Accelerated Processing Units (APUs) benennt AMD nicht nach Sternen, sondern nach bekannten Malern: Diesmal freut sich Renoir über zahlreiche Reparaturen, während Dali einen ersten Auftritt feiert.
Auch bei den anderen Grafikkartentreibern tat sich etwas. Intel („i915“) bringt initialen Support für die Tigerlake-Plattform mit, der freie Nvidia-Treiber Nouveau erkennt nun, wenn PCIe-Kabel nicht angesteckt sind und verbessert das Farbmanagement für Displays.
Umgang mit Security-Problemen
Wohl auch aufgrund der schlechten Erfahrungen beim Handeln von Patches für Spectre, Meltdown und Co. hat Kernel-Entwickler Thomas Gleixner Regeln für den künftigen Umgang mit Security-Zwischenfällen formuliert. Über verschlüsselte Mailinglisten sollen potenzielle Ansprechpartner aus der Kernel-Community und der Industrie künftig miteinander in Kontakt treten.
Zugleich sollen laut einem Vortrag von Greg Kroah-Hartman auf dem Open Source Summit Europe nun auch Distributionen wie Debian die nötigen Informationen mit genügend zeitlichem Vorlauf erhalten. So hatte Intel das Debian-Projekt erst 48 Stunden vor dem Release der Informationen zu den letzten Sicherheitslücken informiert, weil das Unternehmen Debian nicht als Unternehmen einstuft. Stellt sich heraus: Der Kernel von Kernel.org und der von Debian teilen sich 80 Prozent der Geräte, auf denen Linux läuft — ausgenommen die 2,5 Milliarden Android-Geräte.
[Quelle: https://www.linux-magazin.de/news/linux-5-4-veroeffentlicht/ ]
