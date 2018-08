Разработчики проекта Debian обратили внимание на изменение текста лицензионного соглашения в июльском обновлении микрокода для процессоров Intel, в котором были предложены важные дополнения, необходимые для блокирования новых уязвимостей Spectre и L1TF, такие как MSR-бит SSBD (Speculative Store Bypass Disable) и операция L1D_FLUSH. Неопределённость с лицензией до сих пор не позволяет доставить обновление микрокода до пользователей, несмотря на то, что пакет был подготовлен ещё 8 августа. Новое лицензионное соглашение рассматривается как несовместимое с правилами Debian, что не позволяет организовать поставку обновления микрокода, без которого невозможно полноценное устранение последних уязвимостей в механизме спекулятивного выполнения инструкций. Пользователям остаётся дожидаться появления обновлений прошивки для материнской платы или вручную загрузить новый микрокод и настроить его установку во время загрузки дистрибутива. Проблема связана с появлением в новом тексте соглашения достаточно странного нового требования, в соответствии с которым перед загрузкой и установкой обновления микрокода, пользователь должен прочитать и согласиться с условиями его поставки: DO NOT DOWNLOAD, INSTALL, ACCESS, COPY, OR USE ANY PORTION OF THE SOFTWARE UNTIL YOU HAVE READ AND ACCEPTED THE TERMS AND CONDITIONS OF THIS AGREEMENT. BY INSTALLING, COPYING, ACCESSING, OR USING THE SOFTWARE, YOU AGREE TO BE LEGALLY BOUND BY THE TERMS AND CONDITIONS OF THIS AGREEMENT. Примечательно, что в Fedora, RHEL, SUSE, openSUSE и Arch Linux новый микрокод уже включён в состав дистрибутивов, но пока непонятно, было ли проанализировано новое соглашение юристами SUSE и Red Hat или осталось незамеченным. Некоторые разработчики считают возможным включение обновления микрокода в поставку, указывая неоднозначность формулировок в лицензионном соглашении - в тексте также присутствует пункт, явно разрешающий распространение микрокода в составе других продуктов. Кроме того, на сайте загрузки прошивок Intel не появилось никаких предварительных форм подтверждения соглашения перед загрузкой. Имад Сусоу (Imad Sousou), вице-президент Intel, руководящий подразделением Intel Open Source Technology Center, подтвердил, что проблем с лицензионной совместимостью нет и Debian может поставлять микрокод через свои репозитории так как третий пункт во второй секции соглашения явно предоставляет такое право распространения объектного кода Intel в дистрибутивах. Тем не менее, неопределённость формулировок остаётся и решение о поставке нового микрокода в Debian пока не принято. К обсуждению также подключились разработчики Gentoo, которые ранее уже организовали поставку нового микрокода, но рассматривают возможность реализации прямой загрузки с выводом формы для принятия соглашения, без распространения обновления через свои зеркала.