Greg Kroah-Hartman 抨击英特尔在 Meltdown 和 Spectre 漏洞披露上的做法

Linux Intel
pigsrollaroundinthem (39396)发表于 2018年08月31日 10时57分 星期五
来自避免影响销售部门
在本周举行的北美开源峰会上,Linux 稳定版内核维护者 Greg Kroah-Hartman 抨击了英特尔在 Meltdown 和 Spectre 漏洞披露上的做法。他说,Jann Horn 在 2017 年 7 月发现了漏洞,但直到 2017 年 10 月 25 日内核社区的少数人才听到漏洞传言,而他们能听到流言是因为有家大型操作系统开发商(推测是微软,微软的很多服务如今都运行在 Linux 上)施压英特尔向内核社区披露漏洞。英特尔直到今年 1 月 3 日才正式公布 Meltdown 和 Spectre 漏洞。Kroah-Hartman 说,英特尔向 Linux 发行版开发商 SUSE、Red Hat 和 Canonical 披露了漏洞,但没有告诉甲骨文也没有告诉流行的社区发行版 Debian,它禁止这些公司彼此交流信息。Linux 发行版开发商通常会在漏洞修复上进行合作,但这一次他们只能完全靠自己,因此每一家都提出了自己不同的修复方案。英特尔直到 2017 年 12 月的最后一周才允许内核社区交流信息,毁掉了内核开发者们的圣诞假期。他说,英特尔搞砸了这一切。Kroah-Hartman 表示英特尔在最近的漏洞披露上有了改进,如 Foreshadow 漏洞内核社区就提前收到了通知,因此社区能通过合作快速开发出补丁。