- 主题:linux可能会迎来bug爆发,Linus已经同意将内核语言升级到C11
还在使用 89 年版 C 语言的 Linux 内核,现在终于要做出改变了。今天,Linux 开源社区宣布,未来会把内核 C 语言版本升级到 C11,预计 5.18 版之后生效,也就是今年 5 月。
Linux
这个决定很突然,从发起问题到官方声明,不过才一个星期,要知道说服固执的 Linux 之父 Linus Torvalds 可不是件容易的事。事情的原因,说起来还有那么一点偶然的因素。
一个 bug 的连锁反应
问题的起源是来自上周的一次 Linux 社区讨论。
一位名叫 Jakob Koschel 的博士生,在研究阻止与内核链表 primitive 相关的预测执行漏洞时,发现了这样一个问题。
Linux 内核广泛使用由 struct list_head 定义的双向链表:
struct list_head {
struct list_head *next, *prev;
};
这种结构通常嵌入到其他结构中。通过这种方式,可以使用任何相关的结构类型制作链表。
除此之外,内核还提供大量可用于遍历和操作链表的函数和宏。list_for_each_entry () 就是其中之一,这是伪装成一种控制结构的宏。问题就出在这个宏上。假设内核包含如下结构:
struct foo {
int fooness;
struct list_head list;
};
list 中的元素可用于创建 foo 结构的双向链表。假设有一个叫做 foo_list 的结构声明作为此类链表的头,使用以下代码可以遍历此链表:
struct foo *iterator;
list_for_each_entry(iterator, &foo_list, list) {
do_something_with(iterator);
}
/* Should not use iterator here */
list 参数告诉宏在 foo 结构中 list_head 结构的名称。这个循环将为列表中的每个元素执行一次,迭代器指向该元素。由此导致了 USB 子系统中的一个 bug:传递给该宏的迭代器在退出宏后还能被使用。
这是一件危险的事情,所以 Koschel 提交了一个修复补丁,在循环后停止使用迭代器搞定了 bug。
说服 Linus
但是 Linus Torvalds 本人并不太喜欢这个补丁,也没有看到它与预测执行漏洞的关系。在 Koschel 详细解释后,Linus 承认这只是一个普通的 bug。
然而事情并没有那么简单,Linus 不久后意识到了真正的根源:传递给链表遍历宏的迭代器,必须在循环本身之外的范围内声明。这种非预测性 bug 发生的原因是,C89 中没有“在循环中声明变量”。
像 list_for_each_entry () 这样的宏,从根本上总是将最后一个 HEAD 入口泄漏到循环之外,仅仅是因为我们不能在循环本身中声明迭代器变量。
如果可以编写一个可以声明自己的迭代器列表遍历宏,那么迭代器在循环之外将不可见,并且不会出现此类问题。但是,由于内核停留在 C89 标准上,因此无法在循环中声明变量。
Linus 决定,那咱们还是升级吧,也许是时候转向 C99 标准了。虽然它也有 20 多年的历史,但至少比 C89 新,可以在循环中声明变量。
既然 C89 如此陈旧,这么多年还没做出改变呢?Linus 说,那是因为我们在一些古老的 gcc 编译器版本中遇到了一些奇怪的问题,不能随便升级。
但是,现在 Linux 内核已将 gcc 的最低要求提升至 5.1 版,因此过去那些奇怪的 bug 应该不会有了。
而另一位核心开发者 Arnd Bergmann 认为,咱们完全可以升级到 C11 甚至更高版本。但如果升级到 C17 或 C2x,会破坏对 gcc-5/6/7 的支持,因此升级到 C11 更容易实现。
最终,Torvalds 赞成这个想法:“好的,请提醒我,让我们在 5.18 合并窗口的早期尝试一下。”接下来迁移到 C11 可能会导致一些意想不到的 bug,但如果一切顺利,下一个 Linux 内核版本将正式转向 C11。
--来自微水木3.5.11
--
修改:KillnCov FROM 140.206.195.*
FROM 140.206.195.*
C 语言要是不带宏就完美了
宏的话可以单独搞一套预编译器
【 在 KillnCov (KillnCov) 的大作中提到: 】
: 还在使用 89 年版 C 语言的 Linux 内核,现在终于要做出改变了。今天,Linux 开源社区宣布,未来会把内核 C 语言版本升级到 C11,预计 5.18 版之后生效,也就是今年 5 月。
: Linux
: 这个决定很突然,从发起问题到官方声明,不过才一个星期,要知道说服固执的 Linux 之父 Linus Torvalds 可不是件容易的事。事情的原因,说起来还有那么一点偶然的因素。
: ...................
--
FROM 111.28.164.*
现在的宏就是单独的 cpp 预编译啊。
【 在 chaobill (若我离去,后会无期) 的大作中提到: 】
: C 语言要是不带宏就完美了
: 宏的话可以单独搞一套预编译器
--
FROM 110.81.15.*
转眼间,C2x都快出来了,Linus已经从青春少年(C89)变成了一个固执的老头(C2x)。
【 在 KillnCov 的大作中提到: 】
: 还在使用 89 年版 C 语言的 Linux 内核,现在终于要做出改变了。今天,Linux 开源社区宣布,未来会把内核 C 语言版本升级到 C11,预计 5.18 版之后生效,也就是今年 5 月。
: Linux
: 这个决定很突然,从发起问题到官方声明,不过才一个星期,要知道说服固执的 Linux 之父 Linus Torvalds 可不是件容易的事。事情的原因,说起来还有那么一点偶然的因素。
: ...................
--
FROM 122.238.140.*
看了一下英文原文,貌似这中文的说得不对?
https://lkml.org/lkml/2022/2/17/1032
问题是出在transient path中,也就是cpu做分支预测时,预测错误了的那个分支。
list遍历时,循环结束条件是"xxx != (head)"。到链表的尾部节点时,对这个条件有两种预测,
一种是xxx == (head),这是正确的分支,导致循环结束;
一种是xxx != (head),这个是错误的预测分支,也就是transient path。这种情况下还会去尝试访问xxx指向的节点的内容,如果xxx指向的结构中有用户可控的内容,就可能导致安全问题。
所以这个问题应该和宏机制、C89没关系,就是因为在transient path中访问了用户可控的内容。是由于这种链表的实现结构导致的。
实际上windows平台的driver也大量使用了这种list访问(估计有些可能也有这问题),一般人不敢在driver中使用复杂结构比如红黑树之类的。
--
FROM 114.241.225.*
本质就是for(int i=0; i < n; i++),C89不支持,i必须在外部定义,导致迭代结束后,迭代器还能被访问,从而产生问题。
【 在 z16166 的大作中提到: 】
: 看了一下英文原文,貌似这中文的说得不对?
:
https://lkml.org/lkml/2022/2/17/1032:
: ...................
--来自微水木3.5.11
--
FROM 117.136.8.*
c89 支持这样不?
{
int i;
for (i = 0; i < n; ++i) {}
}
这样不就可以随时定义变量了么。
【 在 KillnCov (KillnCov) 的大作中提到: 】
: 本质就是for(int i=0; i < n; i++),C89不支持,i必须在外部定义,导致迭代结束后,迭代器还能被访问,从而产生问题。
: --来自微水木3.5.11
--
FROM 110.81.15.*
cpu这个预测是在循环内的,i(等于n时)指向的东西本来不应被访问的,被访问了
【 在 KillnCov 的大作中提到: 】
: 本质就是for(int i=0; i < n; i++),C89不支持,i必须在外部定义,导致迭代结束后,迭代器还能被访问,从而产生问题。
:
--
FROM 114.241.225.*
终于升级到C11了
盼的都快忘了这回事
--
FROM 60.1.12.*