Het gaat om een bug die zit ingebakken in processors van Intel. Volgens de security-aankondiging voor Debian Linux is het "een ernstige fout" in een flinke reeks aan Intel-chips. Dit zijn elke Core i-processor voor desktops en laptops sinds de allereerste generatie Core i3/i5/i7, en alle Xeon-processors voor servers sinds de 3500/5500-reeks. Laatstgenoemden zijn begin 2009 uitgekomen, terwijl de Core i-chips eind 2008 debuteerden.

Security-issue voor virtuele machines en hypervisors

Pc's, laptops en servers met die processors kunnen door de bug vastlopen. Fabrikant Intel omschrijft het zelf als een security issue, die van toepassing is voor systemen die 32-bit virtuele machines draaien in PAE-modus (Physical Address Extension). PAE is een manier om 32-bit processors toch voorbij de geheugengrens van 4 GB te laten gaan zodat ze meer RAM kunnen gebruiken dan oorspronkelijk mogelijk met 32-bit adressering.

De bug kan bij gebruik van 32-bit PAE-paging, in combinatie met EPT (Extended Page Tables), ervoor zorgen dat een geheugenadres niet goed wordt vertaald. Dat kan dan voor systeemfouten zorgen en in het ergste geval virtuele machines of zelfs de VM-beherende hypervisor laten vastlopen.

BIOS-update of Linux-patch

Intel heeft de zogeheten microcode-update (20130808) voor deze bug vorige maand al uitgebracht. Vaak wordt zo'n fix voor processors door moederbordfabrikanten opgenomen in een BIOS-update (basic input/output system) die gebruikers dan moeten installeren. Voor Linux kan dit anders: dat open source-besturingssysteem heeft de mogelijkheid om bijgewerkte microcode te 'voeren' aan de processor.

Hiervoor hebben de ontwikkelaars van Linux-distributie Debian de update van Intel nu opgenomen in hun software. "De microcode-update moet worden toegepast elke keer als de processor wordt gerest of uitgeschakeld; het blijft niet 'hangen' ", vermeldt ontwikkelaar Henrique de Moraes Holschuh in de aankondiging van de security-update. Debian installeert de update in het eerste root-bestandssysteem (initramfs) van het besturingssysteem, zodat het altijd wordt toegepast wanneer de computer boot.

Geen reboot nodig

Een reboot is hierbij niet nodig. Zodra een beheerder de update installeert, is die gelijk van kracht. De installatie in initramfs is ervoor om te voorkomen dat de update 'verloren raakt' na een reboot. Overigens kan de Intel-update ook nog andere fouten fixen, maar het is onbekend of dat zo is en welke bugs dan. De processorfabrikant maakt namelijk niet publiekelijk bekend wat er zoal in een microcode-patch zit, merkt Debian-maintainer De Moraes Holschuh op.