Arm은 일부 최신 CPU에 대한 리눅스 기본 설정을 변경하여 비용이 많이 드는 커널 페이지 테이블 격리(Kernel Page Table Isolation, KPTI) 완화를 구현한다고 발표했습니다. 이 결정은 비특권 컨텍스트가 데이터 메모리 의존적 프리패치 엔진을 악용하여 허가 없이 특권 메모리 위치에 접근할 수 있는 취약점에 대한 대응으로 이루어졌습니다.
이 문제는 Arm의 파트너들이 CPUACTLR6_EL1[41] 설정을 조정하여 영향을 받는 프리패처를 비활성화하도록 즉각적인 조치를 취해야 함을 의미합니다. 이 전환을 돕기 위해 필요한 변경 사항을 구현한 Trusted Firmware-A의 업데이트가 출시되었습니다. KPTI의 도입은 아직 펌웨어 패치를 받지 않은 시스템에 대해 중요한 보호 계층을 제공하며, 이는 잠재적인 데이터 유출을 사이드 채널을 통해 방지하는 데 기여합니다.
영향을 받는 CPU에서 KPTI를 활성화하는 패치는 SMCCC_ARCH_WORKAROUND_4 지표가 없는 경우 특히 중요합니다. 이 지표는 펌웨어 우회가 없음을 나타냅니다. 이 구현은 또한 Scalable Performance Enhancements(SPE) 및 Trace Buffer(TRBE) 기능이 존재할 경우 암묵적으로 비활성화되며, 이는 성능과 보안 간의 트레이드오프를 나타냅니다.
전반적으로, 이 변화는 현대 CPU 아키텍처에서 성능과 보안을 균형 있게 유지하는 데 지속적인 도전 과제가 있음을 강조하며, Meltdown과 같은 취약점을 고려할 때 더욱 그러합니다. 이러한 변화의 영향은 시스템 성능과 운영 비용에 영향을 미칠 수 있으며, KPTI는 메모리 관리 작업에서 오버헤드를 발생시키는 것으로 알려져 있습니다.
* 이 글은
phoronix.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.