Így javítsd ki a súlyos processzorhibákat!

Gyakorlati útmutató ahhoz, hogy a közelmúltban feltárt, processzorokkal kapcsolatos sérülékenységeket milyen módon lehet biztonságosan befoltozni.

Linux operációs rendszer frissítése

Linux esetén a frissítés kernelfrissítés formájában érkezik. A különféle disztribúciók készítői már elérhetővé tették a frissítéseket. Nincs más dolgunk mint ezeket telepíteni, majd a rendszereket újraindítani. Amennyiben valami Live Patching rendszert használsz, akkor a telepítés hatása újraindítás után lép csak életbe.

Ubuntu: Az Ubuntut késztő Canoncal már frissítette a kerneleket a támogatott rendszereknél.

A hibával foglalkozó bejelentése: insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

A javítások jelenlegi állapota: wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

Hirdetés

Csomag

Verzió

Kiadás

linux

4.4.0-108.131

Xenial 16.04

linux

4.13.0-25.29

Artful 17.10

linux-aws

4.4.0-1048.57

Xenial 16.04

linux-aws

4.4.0-1010.10

Trusty 14.04

linux-azure

4.13.0-1005.7

Xenial 16.04

linux-euclid

4.4.0-9022.23

Xenial 16.04

linux-gcp

4.13.0-1006.9

Xenial 16.04

linux-hwe-edge

4.13.0-25.29~16.04.1

Xenial 16.04

linux-kvm

4.4.0-1015.20

Xenial 16.04

linux-lts-xenial

4.4.0-108.131~14.04.1

Trusty 14.04

linux-oem

4.13.0-1015.16

Xenial 16.04

A kiadott Linux Kernel 4.4.0-108.131 verziója azonban hibát tartalmazott, így jelenleg a 4.4.0-109 verziót kell telepíteni. Linux Mint 18.x alatt is ezt a verziót ajánlatos telepíteni. A Spectre sebezhetőség kerneloldali javítása a 4.4.0-111.134 (16.04) és a 3.13.0-140.189 (14.04) verziókkal jelenleg tesztelés alatt van, és várhatóan még a héten megjelennek.

CentOS/RedHat: A CentOS és a RedHat már minden szempontból optimális védelmet biztosít a Spectre és Meltdown sebezhetőségekkel szemben.

A RedHat tájékoztatása:

Érintett RedHat-termékek:

  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Atomic Host
  • Red Hat Enterprise MRG 2
  • Red Hat OpenShift Online v2
  • Red Hat OpenShift Online v3
  • Red Hat Virtualization (RHEV-H/RHV-H)
  • Red Hat Enterprise Linux OpenStack Platform 6.0 (Juno)
  • Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) for RHEL7
  • Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) director for RHEL7
  • Red Hat OpenStack Platform 8.0 (Liberty)
  • Red Hat OpenStack Platform 8.0 (Liberty) director
  • Red Hat OpenStack Platform 9.0 (Mitaka)
  • Red Hat OpenStack Platform 9.0 (Mitaka) director
  • Red Hat OpenStack Platform 10.0 (Newton)
  • Red Hat OpenStack Platform 11.0 (Ocata)
  • Red Hat OpenStack Platform 12.0 (Pike)

A Debian által kiadott tájékoztatások:

A frissítések egyelőre csak részben készültek el. A fejlesztők dolgoznak a hiba elhárításán.

Általános információk Linux kernel esetén

A Linux kernelben a Meltdown sebezhetőség védelmet a

  • nopti [X86-64] Disable kernel page table isolation

kernel paraméterrel a KPTI használata tiltható.

A Spectre sebezhetőséggel kapcsolatos védelmet tiltják a következő kernelparaméterek:

  • noibrs - Indirect Branch Restricted Speculation
  • noibpb - Indirect Branch Prediction Barriers

Fontos megjegyezni, hogy noha – a biztonsági szakértők által készített kódon kívül – nincs ismert támadás e hibák kihasználására. De vélhetően ez csak idő kérdése, s hamarosan lesznek olyan vadon elterjedő kódok, amelyek személyes, értékes adatok után kutatnak ilyen módon.

Szükség esetén a védelmek időlegesen kikapcsolhatók, de ez általában nem ajánlott:

# echo 0 > /sys/kernel/debug/x86/pti_enabled

# echo 0 > /sys/kernel/debug/x86/ibpb_enabled

# echo 0 > /sys/kernel/debug/x86/ibrs_enabled

CentOS/RedHat 6 alatt szükség lehet a debug filerendszer csatolására:

mount -t debugfs nodev /sys/kernel/debug

A jelenleg hatályos beállításokat így ellenőrizhetjük:

# cat /sys/kernel/debug/x86/pti_enabled
# cat /sys/kernel/debug/x86/ibpb_enabled
# cat /sys/kernel/debug/x86/ibrs_enabled

Javasolt beállítások

Intel CPU:

  • pti 1 ibrs 1 ibpb 1 → Javítja: #1 #2 #3;
  • pti 1 ibrs 0 ibpb 0 → Javítja: #1 #3; régebbi Intel CPU-khoz, ahol nincs microcode frissítése

AMD CPU:

Az AMD szerint saját processzoraikat csak az hármas számú (Meltdown) számú hiba nem érinti.

  • pti 0 ibrs 0 ibpb 2 → Javítja: #1 #2; mikrokód frissítés esetén
  • pti 0 ibrs 2 ibpb 1 → Javítja: #1 #2; régebbi processzorokhoz, ahol az indirect branch prediction kikapcsolható mikrokódfrissítés nélkül

A cikk még nem ért véget, kérlek, lapozz!

Azóta történt

Előzmények