O Linux 7.2 chega com importantes melhorias de segurança no subsistema de timers do kernel, protegendo sistemas contra ataques de negação de serviço (DoS) e corrigindo uma vulnerabilidade que persistia há mais de 20 anos no código do kernel Linux.

Proteção contra timers maliciosos no HRTIMER

Uma das mudanças mais significativas no Linux 7.2 é a implementação de verificações que impedem usuários não privilegiados de armar timers no passado através da interface HRTIMER. Essa falha permitia que processos em user-space, intencionalmente ou por erro, causassem sérios problemas de desempenho e até travamentos completos do sistema.

Segundo Thomas Gleixner, desenvolvedor sênior do kernel Linux, o problema ocorria quando o tempo de expiração do timer estava no passado, fazendo com que ele se tornasse o primeiro timer a expirar na base hrtimer por CPU. Em máquinas rápidas o suficiente, isso criava um loop infinito de programação do valor delta mínimo definido pelo dispositivo de clock event, antes que a interrupção do timer pudesse ser disparada.

Como funcionava o ataque DoS

O cenário de ataque funcionava da seguinte maneira:

1. Um usuário não privilegiado armava um timer com tempo de expiração no passado
2. O kernel, sem verificação adequada no momento do enqueue, aceitava o timer
3. O sistema entrava em loop infinito tentando processar o timer “atrasado”
4. A interrupção do hrtimer ficava starving (sem recursos)
5. O mecanismo de lockup detector nunca era invocado
6. Resultado: travamento completo da CPU detectado pelo NMI watchdog

Gleixner foi direto ao descrever a situação: “Isso previne que user-space estúpido ou malicioso gere toneladas de interrupções de timer sem sentido”.

Correção de bug histórico de 20 anos

Além da proteção contra DoS, o Linux 7.2 corrige um vazamento de referência de contagem PID no código de timers CPU POSIX que existia desde o kernel Linux 2.6.12, lançado em 2005.

Esse bug permaneceu despercebido por mais de duas décadas no kernel Linux, demonstrando tanto a complexidade do código quanto a robustez geral do sistema que operou com essa falha latente por tanto tempo sem causar problemas generalizados.

Impacto para administradores de sistema

As mudanças no sistema de timers do Linux 7.2 trazem benefícios imediatos:

• Maior estabilidade: Previne travamentos causados por aplicações com bugs ou maliciosas
• Segurança reforçada: Fecha vetor de ataque para privilégio elevation e DoS
• Melhor desempenho: Elimina interrupções de timer desnecessárias que consumiam ciclos de CPU
• Proteção em multi-tenant: Essencial para ambientes de nuvem e servidores compartilhados

Backport para versões anteriores

De acordo com Gleixner, a primeira correção que previne o stall é claramente candidata a backport para versões estáveis do kernel. A série completa de patches também deve ser considerada para backport, pois previne ataques de user-space que podem comprometer a disponibilidade do sistema.

O que mais o Linux 7.2 traz

Além das melhorias no sistema de timers, o kernel Linux 7.2 inclui diversas outras otimizações e correções que estão sendo publicadas em nosso site, incluindo melhorias de desempenho em pipes anônimas, otimizações no slab allocator, suporte inicial a HDMI 2.1 FRL para AMDGPU, e remoção de código legado i486.

Como atualizar

Administradores de sistema que gerenciam ambientes críticos devem planejar a atualização para o Linux 7.2 assim que disponível nas distribuições, especialmente devido às correções de segurança relacionadas ao sistema de timers. As principais distribuições Linux devem começar a disponibilizar o kernel 7.2 nas próximas semanas.