Linux operációs rendszer frissítése
Linux esetén a frissítés kernelfrissítés formájában érkezik. A különféle disztribúciók készítői már elérhetővé tették a frissítéseket. Nincs más dolgunk mint ezeket telepíteni, majd a rendszereket újraindítani. Amennyiben valami Live Patching rendszert használsz, akkor a telepítés hatása újraindítás után lép csak életbe.
Ubuntu: Az Ubuntut késztő Canoncal már frissítette a kerneleket a támogatott rendszereknél.
A hibával foglalkozó bejelentése: insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
A javítások jelenlegi állapota: wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Hirdetés
Csomag |
Verzió |
Kiadás |
linux |
4.4.0-108.131 |
Xenial 16.04 |
linux |
4.13.0-25.29 |
Artful 17.10 |
linux-aws |
4.4.0-1048.57 |
Xenial 16.04 |
linux-aws |
4.4.0-1010.10 |
Trusty 14.04 |
linux-azure |
4.13.0-1005.7 |
Xenial 16.04 |
linux-euclid |
4.4.0-9022.23 |
Xenial 16.04 |
linux-gcp |
4.13.0-1006.9 |
Xenial 16.04 |
linux-hwe-edge |
4.13.0-25.29~16.04.1 |
Xenial 16.04 |
linux-kvm |
4.4.0-1015.20 |
Xenial 16.04 |
linux-lts-xenial |
4.4.0-108.131~14.04.1 |
Trusty 14.04 |
linux-oem |
4.13.0-1015.16 |
Xenial 16.04 |
A kiadott Linux Kernel 4.4.0-108.131 verziója azonban hibát tartalmazott, így jelenleg a 4.4.0-109 verziót kell telepíteni. Linux Mint 18.x alatt is ezt a verziót ajánlatos telepíteni. A Spectre sebezhetőség kerneloldali javítása a 4.4.0-111.134 (16.04) és a 3.13.0-140.189 (14.04) verziókkal jelenleg tesztelés alatt van, és várhatóan még a héten megjelennek.
CentOS/RedHat: A CentOS és a RedHat már minden szempontból optimális védelmet biztosít a Spectre és Meltdown sebezhetőségekkel szemben.
A RedHat tájékoztatása:
- access.redhat.com/errata/RHSA-2018:0008
- access.redhat.com/security/vulnerabilities/speculativeexecution – Részletes információk a javításokról és érintettségekről.
- Performance Impacts
- access.redhat.com/security/cve/CVE-2017-5753
- access.redhat.com/security/cve/CVE-2017-5715
- access.redhat.com/security/cve/CVE-2017-5754
- access.redhat.com/solutions/3307791 – Options to address CVE-2017-5753 on XEN platforms
Érintett RedHat-termékek:
- Red Hat Enterprise Linux 5
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 7
- Red Hat Atomic Host
- Red Hat Enterprise MRG 2
- Red Hat OpenShift Online v2
- Red Hat OpenShift Online v3
- Red Hat Virtualization (RHEV-H/RHV-H)
- Red Hat Enterprise Linux OpenStack Platform 6.0 (Juno)
- Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) for RHEL7
- Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) director for RHEL7
- Red Hat OpenStack Platform 8.0 (Liberty)
- Red Hat OpenStack Platform 8.0 (Liberty) director
- Red Hat OpenStack Platform 9.0 (Mitaka)
- Red Hat OpenStack Platform 9.0 (Mitaka) director
- Red Hat OpenStack Platform 10.0 (Newton)
- Red Hat OpenStack Platform 11.0 (Ocata)
- Red Hat OpenStack Platform 12.0 (Pike)
A Debian által kiadott tájékoztatások:
- security-tracker.debian.org/tracker/CVE-2017-5715
- security-tracker.debian.org/tracker/CVE-2017-5753
- security-tracker.debian.org/tracker/CVE-2017-5754
A frissítések egyelőre csak részben készültek el. A fejlesztők dolgoznak a hiba elhárításán.
Általános információk Linux kernel esetén
A Linux kernelben a Meltdown sebezhetőség védelmet a
- nopti [X86-64] Disable kernel page table isolation
kernel paraméterrel a KPTI használata tiltható.
A Spectre sebezhetőséggel kapcsolatos védelmet tiltják a következő kernelparaméterek:
- noibrs - Indirect Branch Restricted Speculation
- noibpb - Indirect Branch Prediction Barriers
Fontos megjegyezni, hogy noha – a biztonsági szakértők által készített kódon kívül – nincs ismert támadás e hibák kihasználására. De vélhetően ez csak idő kérdése, s hamarosan lesznek olyan vadon elterjedő kódok, amelyek személyes, értékes adatok után kutatnak ilyen módon.
Szükség esetén a védelmek időlegesen kikapcsolhatók, de ez általában nem ajánlott:
# echo 0 > /sys/kernel/debug/x86/pti_enabled
# echo 0 > /sys/kernel/debug/x86/ibpb_enabled
# echo 0 > /sys/kernel/debug/x86/ibrs_enabled
CentOS/RedHat 6 alatt szükség lehet a debug filerendszer csatolására:
mount -t debugfs nodev /sys/kernel/debug
A jelenleg hatályos beállításokat így ellenőrizhetjük:
# cat /sys/kernel/debug/x86/pti_enabled
# cat /sys/kernel/debug/x86/ibpb_enabled
# cat /sys/kernel/debug/x86/ibrs_enabled
Javasolt beállítások
Intel CPU:
- pti 1 ibrs 1 ibpb 1 → Javítja: #1 #2 #3;
- pti 1 ibrs 0 ibpb 0 → Javítja: #1 #3; régebbi Intel CPU-khoz, ahol nincs microcode frissítése
AMD CPU:
Az AMD szerint saját processzoraikat csak az hármas számú (Meltdown) számú hiba nem érinti.
- pti 0 ibrs 0 ibpb 2 → Javítja: #1 #2; mikrokód frissítés esetén
- pti 0 ibrs 2 ibpb 1 → Javítja: #1 #2; régebbi processzorokhoz, ahol az indirect branch prediction kikapcsolható mikrokódfrissítés nélkül
A cikk még nem ért véget, kérlek, lapozz!