Perubahan yang dikirim pada hari Minggu ini menjelang rilis Linux 6.3-rc3 adalah tambahan terbaru yang menambahkan mekanisme pelambatan untuk melindungi hypervisor dari tamu AMD Secure Encrypted Virtualization (SEV) yang berpotensi berbahaya. Perubahannya adalah untuk melindungi AMD Secure Processor dari kemungkinan kelebihan muatan permintaan oleh VM tamu jahat.
Insinyur Google Dionna Glaze telah mengerjakan dukungan “kesadaran pembatasan” ini untuk tamu AMD SEV dan kode kernel Linux ini telah disetujui oleh para insinyur Linux AMD. Dionna Glaze menjelaskan di salah satu tambalan untuk throttling AMD SEV ini:
Seorang tamu SEV yang berpotensi jahat dapat terus-menerus memalu hypervisor menggunakan driver ini untuk mengirimkan permintaan dan dengan demikian mencegah atau setidaknya sangat menghalangi tamu lain untuk mengeluarkan permintaan ke prosesor aman yang merupakan sumber daya platform bersama.
Oleh karena itu, tuan rumah diizinkan dan didorong untuk membatasi permintaan tamu tersebut.
Tambahkan kemampuan untuk menangani kasus saat hypervisor membatasi jumlah permintaan yang berlebihan yang dikeluarkan oleh tamu. Jika tidak, kunci komunikasi platform VM akan dinonaktifkan, mencegah tamu untuk membuktikan dirinya sendiri.
Berbicara secara realistis, tamu yang berperilaku baik seharusnya tidak peduli dengan pelambatan. Selama masa pakainya, ia akan mengeluarkan beberapa permintaan yang dapat ditangani dengan mudah oleh perangkat keras.
Ini lebih untuk mengatasi kasus tamu jahat. Tamu seperti itu harus dicekik dan jika VMPCK-nya dinonaktifkan, maka itu adalah kesalahannya sendiri dan mungkin tamu itu bahkan pantas mendapatkannya.
Untuk implementasi: hypervisor memberi sinyal dengan SNP_GUEST_REQ_ERR_BUSY bahwa permintaan tamu harus dibatasi. Kode kesalahan itu dikembalikan di bagian atas 32-bit dari exitinfo2 dan ini adalah bagian dari spesifikasi GHCB v2.
Jadi, tamu diberi periode pelambatan selama 1 menit untuk mencoba ulang permintaan setiap 2 detik. Ini adalah default yang bagus tetapi jika ternyata tidak berjalan dengan baik dalam praktiknya, ini dapat di-tweak nanti. “Mengingat sifat keamanan dari perubahan ini, dikirim sekarang setelah kode dianggap siap dan di luar penggabungan kernel biasa periode jendela Patch AMD SEV ini dikirim hari ini sebagai bagian dari x86/permintaan penarikan mendesak sebelum rilis Linux 6.3-rc3 malam ini.
Patch throttling AMD SEV ini juga ditandai sebagai kandidat untuk back-porting ke seri kernel yang stabil untuk membantu lebih jauh menangkis pengguna VM yang berpotensi berbahaya yang mencoba membebani AMD Secure Processor.
Itulah berita seputar Linux 6.3-rc3 Menambahkan Perlindungan Dari Tamu Jahat yang Memalu Prosesor Aman AMD, semoga bermanfaat. Disadur dari Phoronix.com.