GNU/Linux >> Znalost Linux >  >> Linux

Jak zmírnit zranitelnosti Spectre a Meltdown na systémech Linux?

Alan Cox sdílel odkaz z blogu AMD:https://www.amd.com/en/corporate/speculative-execution

Varianta jedna:Vynechání kontroly hranic

Vyřešeno aktualizacemi softwaru / OS, které zpřístupní výrobci systému a výrobci. Očekává se zanedbatelný dopad na výkon.

Varianta 2:Cílová injekce větve

Rozdíly v architektuře AMD znamenají, že riziko zneužití této varianty je téměř nulové. Zranitelnost vůči variantě 2 nebyla dosud u procesorů AMD prokázána.

Varianta 3:Rogue Data Cache Load

Nulová zranitelnost AMD kvůli rozdílům v architektuře AMD.

Bylo by však dobré mít potvrzení těchto prohlášení AMD od třetí strany.

„Zmírnění“ na postižených systémech by vyžadovalo nové jádro a restart, ale v mnoha distribucích ještě nejsou vydány balíčky s opravami:

  • https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/

Debian:

  • https://security-tracker.debian.org/tracker/CVE-2017-5715
  • https://security-tracker.debian.org/tracker/CVE-2017-5753
  • https://security-tracker.debian.org/tracker/CVE-2017-5754

Další zdroje informací, které jsem našel:

  • https://lists.bufferbloat.net/pipermail/cerowrt-devel/2018-January/011108.html
  • https://www.reddit.com/r/Amd/comments/7o2i91/technical_analysis_of_spectre_meltdown/

27. ledna 2018 Intel Microcode narušuje některé systémy

Aktualizace Intel Microcode Update 2018-01-08, která řeší spekulativní provádění větvení bezpečnostních děr, narušila některé systémy. To ovlivnilo mnoho systémů Ubuntu od 8. ledna do 21. ledna. 22. ledna 2018 Ubuntu vydalo aktualizaci, která vrací starší mikrokód z 2017-07-07.

Pokud jste mezi 2018-01-08 a 2018-01-22 zaznamenali problémy s aktualizacemi, přeinstalovali Ubuntu a vypnuli aktualizace, možná budete chtít znovu vyzkoušet automatické aktualizace Ubuntu.

Aktualizace Spectre ze 16. ledna 2018 v 4.14.14 a 4.9.77

Pokud již používáte verze jádra 4.14.13 nebo 4.9.76 jako já, je snadné nainstalovat 4.14.14 a 4.9.77 když za pár dní vyjdou, aby zmírnili bezpečnostní díru Spectre. Název této opravy je Retpoline a nemá výrazný zásah do výkonu, o kterém se dříve spekulovalo:

Greg Kroah-Hartman rozeslal nejnovější záplaty pro bodová vydání Linuxu 4.9 a 4.14, která nyní zahrnují podporu Retpoline.

Tato X86_FEATURE_RETPOLINE je povolena pro všechny procesory AMD/Intel. Pro plnou podporu je také potřeba budovat jádro s novějším kompilátorem GCC obsahujícím podporu -mindirect-branch=thunk-extern. Změny GCC včera přistály v GCC 8.0 a jsou v procesu případného zpětného portování na GCC 7.3.

Ti, kteří chtějí deaktivovat podporu Retpoline, mohou zavést záplatovaná jádra pomocí noretpoline .

Aniž byste se zabývali podrobnostmi o JavaScriptu, zde je návod, jak se okamžitě vyhnout Meltdown hole (a od 10. ledna 2018 ochrana Spectre)

Aktualizace z 12. ledna 2018

Počáteční ochrana před Spectre je zde a v příštích týdnech a měsících bude vylepšen.

Linuxová jádra 4.14.13, 4.9.76 LTS a 4.4.111 LTS

Z tohoto článku Softpedia:

Linuxová jádra 4.14.13, 4.9.76 LTS a 4.4.111 LTS jsou nyní k dispozici ke stažení z kernel.org a zahrnují více oprav proti bezpečnostní zranitelnosti Spectre a také některé regrese z Linuxu 4.14.12, 4.9.75 LTS , a jádra 4.4.110 LTS vydaná minulý týden, protože některá hlásila drobné problémy.

Zdá se, že tyto problémy jsou již vyřešeny, takže je bezpečné aktualizovat operační systémy založené na Linuxu na nové verze jádra, které byly dnes vydány, které zahrnují více aktualizací x86, některé opravy PA-RISC, s390 a PowerPC (PPC), různá vylepšení ovladačů ( Intel i915, krypto,IOMMU, MTD) a obvyklé změny jádra mm a jádra.

Mnoho uživatelů mělo problémy s aktualizacemi Ubuntu LTS 4. ledna 2018 a 10. ledna 2018. Používal jsem 4.14.13 několik dní bez problémů však YMMV .

Aktualizace ze 7. ledna 2018

Greg Kroah-Hartman napsal včera aktualizaci stavu o bezpečnostních dírách jádra Linuxu Meltdown a Spectre. Někdo ho může označit za druhého nejmocnějšího muže ve světě Linuxu hned vedle Linuse. Článek se zabývá stabilními jádry (diskutovanými níže) a LTS jádry, která má většina uživatelů Ubuntu.

Linuxová jádra 4.14.11, 4.9.74, 4.4.109, 3.16.52 a 3.2.97 Patch Meltdown Flaw

Z tohoto článku:

Vyzýváme uživatele, aby okamžitě aktualizovali své systémy

4. ledna 2018 01:42 GMT · Autor Marius Nestor

Správci linuxového jádra Greg Kroah-Hartman a Ben Hutchings vydali nové verze linuxových jader 4.14, 4.9, 4.4, 3.16, 3.18 a 3.12 LTS (Long Term Support), které zřejmě opravují jednu ze dvou kritických bezpečnostních chyb ovlivňujících nejmodernější procesory.

Jádra Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 a 3.2.97 jsou nyní k dispozici ke stažení z webu kernel.org a uživatelé jsou vyzýváni, aby aktualizovali své distribuce GNU/Linux na tyto nové verze, pokud okamžitě spustí některou z těchto sérií jader. Proč aktualizovat? Protože zřejmě opravují kritickou zranitelnost zvanou Meltdown.

Jak bylo uvedeno dříve, Meltdown a Spectre jsou dva exploity, které ovlivňují téměř všechna zařízení poháněná moderními procesory (CPU) vydanými v posledních 25 letech. Ano, to znamená téměř všechny mobilní telefony a osobní počítače. Meltdown může zneužít neprivilegovaný útočník k získání citlivých informací uložených v paměti jádra.

Patch pro zranitelnost Spectre stále pracuje

Zatímco Meltdown je vážná zranitelnost, která může odhalit vaše tajná data, včetně hesel a šifrovacích klíčů, Spectre je ještě horší a není snadné jej opravit. Bezpečnostní výzkumníci tvrdí, že nás to bude pronásledovat ještě nějakou dobu. Spectre je známo, že využívá techniku ​​spekulativního provádění, kterou používají moderní CPU k optimalizaci výkonu.

Dokud nebude opravena i chyba Spectre, důrazně doporučujeme, abyste alespoň aktualizovali své distribuce GNU/Linux na kteroukoli z nově vydaných verzí linuxového jádra. Vyhledejte tedy v repozitářích softwaru svého oblíbeného distra novou aktualizaci jádra a nainstalujte ji co nejdříve. Nečekejte, až bude příliš pozdě, udělejte to hned!

Jádro 4.14.10 jsem používal týden, takže stahování a bootování jádra Ubuntu Mainline verze 4.14.11 pro mě nebylo příliš starostí.

Uživatelé Ubuntu 16.04 mohou být pohodlnější s verzemi jádra 4.4.109 nebo 4.9.74, které byly vydány ve stejnou dobu jako 4.14.11.

Pokud vaše pravidelné aktualizace nenainstalují vámi požadovanou verzi jádra, můžete to udělat ručně podle této odpovědi Zeptejte se Ubuntu:https://askubuntu.com/questions/879888/how-do-i-update-kernel-to-the-latest -mainline-version/879920#879920

4.14.12 – Jaký rozdíl udělá den

Méně než 24 hodin po mé první odpovědi byl vydán patch, který opravuje verzi jádra 4.14.11, kterou mohli spěchat. Upgrade na 4.14.12 se doporučuje všem uživatelům 4.14.11. Greg-KH říká:

Oznamuji vydání jádra 4.14.12.

Všichni uživatelé jádra řady 4.14 musí upgradovat.

U tohoto vydání je stále známo několik menších problémů, na které lidé narazili. Doufejme, že budou vyřešeny tento víkend, protože záplaty nepřistály v Linusově stromě.

Prozatím jako vždy otestujte své prostředí.

Při pohledu na tuto aktualizaci nebylo změněno příliš mnoho řádků zdrojového kódu.


Tuto chybu lze zneužít vzdáleně návštěvou webu JavaScript.

Vskutku. Jedním z rozumných opatření je tedy zakázat JavaScript ve vašich webových prohlížečích nebo používat webové prohlížeče, které JavaScript nepodporují.

Většina prohlížečů, které JavaScript podporují, má nastavení pro jeho zakázání. Případně, pokud chcete udržovat seznam povolených webů nebo domén, pro které je povolen JavaScript, pak existují různé doplňky, které vám mohou pomoci, jako je uBlock Origin a NoScript.

N.B. Mělo by být samozřejmé, že zakázání/omezení JavaScriptu by nemělo být vaším jediným zmírnění. Jakmile budou napsány, otestovány a publikovány, měli byste si navíc prohlédnout (a pravděpodobně použít) všechny relevantní opravy jádra a další aktualizace zabezpečení. V distribucích odvozených z Debianu používejte příkazy jako sudo apt update , sudo apt list-upgradable a sudo apt upgrade .

Aktualizace: neber mě za slovo. Alan Cox říká v podstatě totéž:

O co se musíte starat velkým časem je javascript, protože exploit může být vzdáleně použit javascriptem na webových stránkách ke krádeži věcí z vaší systémové paměti. ... zvažte věci jako Adblockery a rozšíření, jako je noscript, které mohou v první řadě zastavit běh spousty odpadu. Udělejte to co nejdříve. Když se objeví aktualizace OS, použijte je. (Zdroj )


Linux
  1. Jak vytvořit alias a používat příkaz Alias ​​v Linuxu

  2. Jak identifikovat karty/porty HBA a WWN v Linuxu

  3. Jak nainstalovat a používat Glances k monitorování systémů Linux

  1. Jak Linux zachraňuje pomalé počítače (a planetu)

  2. Jak mohu vidět velikost souborů a adresářů v linuxu?

  3. Jak přesunu soubory a adresáře do nadřazené složky v Linuxu?

  1. Jak připojit a odpojit souborové systémy v Linuxu

  2. Jak zkontrolovat verzi OS a Linuxu

  3. Jak nainstalovat a používat příkaz Ping v Linuxu