GNU/Linux >> Linux の 問題 >  >> Linux

Linux システムの Spectre および Meltdown の脆弱性を軽減する方法は?

Alan Cox は AMD のブログからのリンクを共有しました:https://www.amd.com/en/corporate/speculative-execution

バリエーション 1:境界チェックのバイパス <ブロック引用>

システム ベンダーとメーカーが提供するソフトウェア/OS アップデートによって解決されます。ごくわずかなパフォーマンスへの影響が予想されます。

バリアント 2:ブランチ ターゲット インジェクション <ブロック引用>

AMD アーキテクチャの違いは、この亜種が悪用されるリスクがほぼゼロであることを意味します。バリアント 2 に対する脆弱性は、現在まで AMD プロセッサで実証されていません。

バリアント 3:不正なデータ キャッシュ ロード <ブロック引用>

AMD アーキテクチャの違いによる AMD 脆弱性ゼロ。

ただし、サードパーティによるこれらのAMDの声明の確認があるとよいでしょう.

影響を受けるシステムの「軽減」には、新しいカーネルと再起動が必要ですが、多くのディストリビューションでは、修正を含むパッケージがまだリリースされていません:

  • https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/

Debian:

  • https://security-tracker.debian.org/tracker/CVE-2017-5715
  • https://security-tracker.debian.org/tracker/CVE-2017-5753
  • https://security-tracker.debian.org/tracker/CVE-2017-5754

私が見つけた他の情報源:

  • https://lists.bufferbloat.net/pipermail/cerowrt-devel/2018-January/011108.html
  • https://www.reddit.com/r/Amd/comments/7o2i91/technical_analysis_of_spectre_meltdown/

2018 年 1 月 27 日 Intel マイクロコードが一部のシステムを壊す

投機的実行分岐のセキュリティ ホールに対処する Intel マイクロコード アップデート 2018-01-08 により、一部のシステムが破損しました。これは、1 月 8 日から 1 月 21 日まで、多くの Ubuntu システムに影響を与えました。 2018 年 1 月 22 日、Ubuntu は 2017 年 7 月 7 日から古いマイクロコードを戻す更新をリリースしました。

2018 年 1 月 8 日から 2018 年 1 月 22 日の間に更新で問題が発生し、Ubuntu を再インストールして更新をオフにした場合は、Ubuntu の自動更新をもう一度試してください。

2018 年 1 月 16 日更新スペクター 4.14.14 および 4.9.77

私のように既にカーネル バージョン 4.14.13 または 4.9.76 を実行している場合は、4.14.14 をインストールするのは簡単です。 と 4.9.77 Spectre のセキュリティ ホールを軽減するために、数日以内に公開されます。この修正の名前は Retpoline で、以前に推測されていた重大なパフォーマンス ヒットはありません:

<ブロック引用>

Greg Kroah-Hartman が Linux 4.9 および 4.14 のポイント リリース用の最新のパッチを送信しました。これには Retpoline のサポートが含まれています。

この X86_FEATURE_RETPOLINE は、すべての AMD/Intel CPU で有効になっています。完全なサポートを得るには、-mindirect-branch=thunk-extern サポートを含む新しい GCC コンパイラでカーネルを構築する必要もあります。 GCC の変更は昨日 GCC 8.0 に導入され、GCC 7.3 にバックポートされる可能性があります。

Retpoline サポートを無効にしたい場合は、パッチを適用したカーネルを noretpoline で起動できます .

JavaScript の詳細には触れずに、メルトダウン ホール (および 2018 年 1 月 10 日現在のスペクター保護) をすぐに回避する方法を次に示します。

2018 年 1 月 12 日更新

Spectre からの最初の保護

Linux カーネル 4.14.13、4.9.76 LTS、および 4.4.111 LTS

このソフトペディアの記事から:

<ブロック引用>

Linux カーネル 4.14.13、4.9.76 LTS、および 4.4.111 LTS が kernel.org からダウンロードできるようになりました。これには、Spectre セキュリティの脆弱性に対する修正と、Linux 4.14.12、4.9.75 LTS からのいくつかのリグレッションが含まれています。 、および 4.4.110 LTS カーネルが先週リリースされましたが、いくつかの小さな問題が報告されました。

これらの問題は現在修正されているようです。そのため、Linux ベースのオペレーティング システムを、今日リリースされた新しいカーネル バージョンに更新しても安全です。これには、x86 の更新、PA-RISC、s390、および PowerPC(PPC) の修正、ドライバーのさまざまな改善が含まれます ( Intel i915、crypto、IOMMU、MTD)、および通常の mm およびコア カーネルの変更。

2018 年 1 月 4 日と 2018 年 1 月 10 日の Ubuntu LTS アップデートで多くのユーザーに問題が発生しました。私は 4.14.13 を使用しています。 YMMV でも問題なく数日間 .

2018 年 1 月 7 日更新

グレッグ・クロア=ハートマン 昨日、Meltdown と Spectre Linux Kernel のセキュリティ ホールに関する最新情報を書きました。 Linux 界で Linus に次いで 2 番目に強力な人物と呼ぶ人もいるかもしれません。この記事では、大部分の Ubuntu ユーザーが使用している安定したカーネル (以下で説明) と LTS カーネルについて説明します。

Linux カーネル 4.14.11、4.9.74、4.4.109、3.16.52、および 3.2.97 パッチ メルトダウンの欠陥

この記事から:

ユーザーはシステムをすぐに更新するよう促されます

2018 年 1 月 4 日 01:42 GMT · Marius Nestor 著

Linux カーネル メンテナーの Greg Kroah-Hartman と Ben Hutchings は、Linux 4.14、4.9、4.4、3.16、3.18、および 3.12 LTS (Long Term Support) カーネル シリーズの新しいバージョンをリリースしました。これは、最近のほとんどに影響を与える 2 つの重大なセキュリティ上の欠陥のうちの 1 つにパッチを当てているようです。

Linux 4.14.11、4.9.74、4.4.109、3.16.52、3.18.91、および 3.2.97 カーネルは、kernel.org Web サイトからダウンロードできるようになりました。ユーザーは GNU/Linux ディストリビューションを更新することをお勧めします。それらのカーネルシリーズのいずれかをすぐに実行する場合、これらの新しいバージョンに。更新する理由Meltdown と呼ばれる重大な脆弱性にパッチを適用しているようです。

以前に報告されたように、Meltdown と Spectre は、過去 25 年間にリリースされた最新のプロセッサ (CPU) を搭載したほぼすべてのデバイスに影響を与える 2 つのエクスプロイトです。はい、それはほとんどすべての携帯電話とパソコンを意味します。 Meltdown は、権限のない攻撃者によって悪用され、カーネル メモリに保存されている機密情報を悪意を持って取得される可能性があります。

スペクターの脆弱性に対するパッチはまだ開発中です

Meltdown は、パスワードや暗号化キーなどの機密データを公開する可能性がある深刻な脆弱性ですが、Spectre はさらに深刻で、修正するのは簡単ではありません。セキュリティ研究者は、それがかなりの期間私たちを悩ませるだろうと言っています。 Spectre は、最新の CPU がパフォーマンスを最適化するために使用する投機的実行技術を悪用することが知られています。

Spectre バグにもパッチが適用されるまで、少なくとも GNU/Linux ディストリビューションを新しくリリースされた Linux カーネル バージョンのいずれかに更新することを強くお勧めします。そのため、お気に入りのディストリビューションのソフトウェア リポジトリで新しいカーネル アップデートを検索し、できるだけ早くインストールしてください。手遅れになるまで待つのではなく、今すぐ始めましょう!

私はカーネル 4.14.10 を 1 週間使用していたので、Ubuntu Mainline Kernel バージョン 4.14.11 をダウンロードして起動することはあまり問題ではありませんでした。

Ubuntu 16.04 のユーザーは、4.14.11 と同時にリリースされた 4.4.109 または 4.9.74 カーネル バージョンの方が快適かもしれません。

定期的な更新で希望するカーネル バージョンがインストールされない場合は、この Ask Ubuntu の回答に従って手動で行うことができます。 -mainline-version/879920#879920

4.14.12 - 一日の違い

最初の回答から 24 時間も経たないうちに、4.14.11 カーネル バージョンを修正するためのパッチがリリースされました。すべての 4.14.11 ユーザーには、4.14.12 へのアップグレードが推奨されます。グレッグ KH のコメント:

<ブロック引用>

4.14.12 カーネルのリリースを発表します。

4.14 カーネル シリーズのすべてのユーザーはアップグレードする必要があります。

このリリースには、人々が遭遇したいくつかの小さな問題がまだ知られています。パッチが Linus のツリーに届いていないので、今週末に解決されることを願っています。

今のところ、いつものように、環境でテストしてください。

この更新を見ると、ソース コードの多くの行が変更されていません。


<ブロック引用>

この欠陥は、JavaScript Web サイトにアクセスすることでリモートから悪用される可能性があります。

それはそう。そのため、賢明な軽減策の 1 つは、Web ブラウザーで JavaScript を無効にするか、JavaScript をサポートしていない Web ブラウザーを使用することです。

JavaScript をサポートしているほとんどのブラウザーには、JavaScript を無効にする設定があります。または、JavaScript を許可するサイトまたはドメインのホワイトリストを維持したい場合は、uBlock Origin や NoScript など、支援できるさまざまなアドオンがあります。

N.B.言うまでもなく、JavaScript を無効化/制限することがあなたの唯一であってはなりません。 緩和。関連するカーネル修正やその他のセキュリティ更新プログラムが作成、テスト、公開されたら、さらに確認する (そしておそらく適用する) 必要があります。 Debian 派生ディストリビューションでは、sudo apt update などのコマンドを使用します 、 sudo apt list-upgradable 、および sudo apt upgrade .

更新: 私の言葉を鵜呑みにしないでください。 Alan Cox も同じことを言っています:

<ブロック引用>

大切にするために必要なこと エクスプロイトは Web ページの JavaScript によってリモートで使用され、システム メモリから情報を盗むことができるためです。 ...アドブロッカーのようなものや、そもそも実行中の多くのジャンクを停止できるnoscriptのような拡張機能を検討してください.できるだけ早くそれを行います。 OS の更新プログラムが表示されたら、それらを適用します。 (出典 )


Linux
  1. Linuxでエイリアスを作成してエイリアスコマンドを使用する方法

  2. LinuxでPingコマンドをインストールして使用する方法

  3. Linux でファイルとディレクトリのサイズを確認するにはどうすればよいですか?

  1. Linuxが遅いコンピューター(そして地球)を救う方法

  2. OSとLinuxのバージョンを確認する方法

  3. Linux で HBA カード/ポートと WWN を識別する方法

  1. Linuxでファイルシステムをマウントおよびアンマウントする方法

  2. Linux システムを監視するために Glances をインストールして使用する方法

  3. Linux でファイルとディレクトリを親フォルダーに移動するにはどうすればよいですか?