La version 5.17 du noyau Linux est disponible, elle apporte des corrections de sécurité très importantes
La version 5.17 du noyau Linux est disponible, elle apporte des corrections de sécurité très importantes,
et une amélioration majeure au générateur de nombres aléatoires
Le noyau Linux 5.17 arrive une semaine plus tard que prévu initialement, et propose une série de changements, d'améliorations des performances et de corrections de sécurité très importantes. Linus Torvalds, annonçant la sortie de la version sur la liste de diffusion du noyau Linux, déclare que le retard d'une semaine (pour tenir compte des problèmes de sécurité récemment révélés) signifie que « ...nous avons obtenu quelques retours en arrière et corrections de dernière minute et évité quelques bogues qui auraient autrement été du fourrage stable, donc tout va bien ».
Alors que des distributions comme Arch Linux, openSUSE Tumbleweed, ou Fedora Linux recevront le noyau Linux 5.17 par le biais de leurs dépôts de logiciels, les distros comme Ubuntu ne le recevront jamais. Boone nouvelle tout de même, le noyau Linux 5.17 peut être installé sur la distribution Ubuntu, quelle que soit la version du noyau en cours d’utilisation.
La principale caractéristique du noyau Linux 5.17 est un nouveau pilote AMD P-State (pour le matériel compatible, c'est-à-dire Zen 2 et plus récent, en fait). Valve aurait participé à la création de ce pilote (grâce au PC de jeu portable Steam Deck) et il promet d'offrir une meilleure efficacité énergétique que le pilote ACPI CPUFreq standard.
Il y a, comme toujours, une nouvelle dose de support pour les processeurs de nouvelle génération d'AMD et d'Intel, ainsi qu'un travail d'activation pour supporter les prochaines cartes graphiques Alchemist d'Intel.
Le nouveau mécanisme est basé sur le Collaborative Processor (CPPC) qui permet une gestion des fréquences à grain plus fin que les P-States matériels de l'ACPI. Les plateformes CPU/APU AMD actuelles utilisent le pilote ACPI P-States pour gérer la fréquence du CPU et les horloges avec une commutation seulement dans 3 P-States. CPPC remplace les contrôles ACPI P-states, permet une interface flexible et à faible latence pour le noyau Linux afin de communiquer directement les indications de performance au matériel.
En ce qui concerne Intel, le nouveau pilote platform firmware runtime update (surnommé PFRUT) de la société est présent dans Linux 5.17. Cela permet, selon LWN, de « mettre à jour certaines parties du firmware du système sans avoir besoin de redémarrer le système ».
Sur le plan matériel, on peut qu'un certain nombre de cartes mères ASUS bénéficient d'une prise en charge des capteurs matériels avec ce noyau ; il y a un nouveau pilote de surveillance matérielle pour les périphériques NZXT ; et cette mise à jour du noyau inclut la prise en charge de divers claviers Apple Magic 2021, y compris les modèles avec pavé numérique et le lecteur d'empreintes digitales.
Il y a également un nouveau pilote x86 pour tablettes Android qui fournit des solutions de contournement pratiques pour permettre aux anciens appareils de démarrer des noyaux Linux plus récents (et les distributions qui s'y trouvent).
La prise en charge de la nouvelle initiative Universal Stylus (USI) est également introduite dans Linux 5.17. Il s'agit d'un effort mené par l'industrie pour créer une spécification commune qui permettra aux stylets d'entrée de fonctionner sur plusieurs appareils, indépendamment du fournisseur. Cette initiative n'en est qu'à ses débuts, mais elle est prometteuse.
La plupart des principaux systèmes de fichiers sont améliorés dans cette version, BTRFS et EXT4 bénéficiant tous deux de gains de performances. Le premier a réduit de moitié la quantité de métadonnées qu'il enregistre en ne copiant que les clés d'index, tandis que le second bénéficie d'une nouvelle API de montage et de la prise en charge des étiquettes get/set fs.
Améliorations majeures apportées au générateur de nombres aléatoires de Linux
Le générateur de nombres aléatoires du noyau est passé de l'algorithme de hachage SHA1 à BLAKE2s, qui est à la fois plus rapide et plus sûr. Selon certains analystes, il s’agirait de sa première série d'améliorations principales depuis plus d'une décennie, améliorant chaque chose de la cryptographie à l'interface utilisée.
En plus de retirer SHA-1 en faveur de BLAKE2s [dans le noyau Linux 5.17], il finit également par unifier /dev/random et /dev/urandom [dans le prochain noyau Linux 5.18], mettant ainsi fin à des années de discussions et de débats :
« Le changement le plus important est que /dev/random et /dev/urandom sont actuellement exactement les mêmes, sans aucune variation entre eux, en raison de leur unification en random : block dans /dev/urandom. Cela supprime un gros pistolet à pied cryptographique séculaire, déjà complété par différentes techniques de travail il y a des lustres », déclare un utilisateur Lnux.
« Le résultat est que chaque désaccord sur les forums informatique concernant /dev/random contre /dev/urandom a maintenant été résolu en permettant à tous de s’accorder », ajoute-t-il. Maintenant, pour la première fois, ce sont toutes les options précises à faire, ainsi que getrandom(0) ; toutes retournent les mêmes octets avec la même sémantique. Il n'y a que des sélections correctes.
Un changement intéressant à observer est que le nom du système getrandom() pourrait également être beaucoup plus rapide avec le tout nouveau noyau. Le nom getrandom() pour acquérir des octets aléatoires donne une efficacité beaucoup plus rapide avec le code le plus récent en amélioration. Le robot de vérification du noyau d'Intel constate une amélioration importante avec le benchmark getrandom() de stress-ng.
Source : LWN
Et vous ?
Quel est votre avis sue les améliorations apportées au générateur de nombres aléatoires de Linux ?
Voir aussi :
Répondre avec citation
Partager