Linux供应商如何解决最近让英特尔处理器的缺陷吗?我问Red Hat和有一些可靠的答案。
问题的本质是什么?
发现前一段时间,但昨天才刚刚进入公众的视野,CPU缺陷允许攻击者绕过限制访问特权内存(这应该无法访问)——可能窃取敏感信息的计算机系统,移动设备和云部署。实际上有两个问题,他们被称为“危机”和“幽灵”。他们可能影响90%的计算机服务器和几乎所有英特尔的微处理器。
崩溃的缺陷是特定于英特尔虽然幽灵是一个设计缺陷,已经被许多处理器制造商几十年了。
这些问题似乎是由于“投机执行”——一种优化技术,是在还不知道所做的工作需要工作。纠正的漏洞,因此,代价性能。更多的信息在这个权衡是可用的Red Hat的帖子。补丁可以减缓系统高达30%——多数用户可能会觉得。然而,具体性能影响将工作负载相关的。在短期内解决幽灵,Red Hat修改内核默认情况下不使用性能特性,使脆弱。顾客可以选择禁用补丁和使用性能的特性。Red Hat和芯片制造商和原始设备制造商在一个长期的解决方案,这个选项给客户一个方法,使自己的安全性和性能决定
根据Red Hat,问题会影响许多硬件平台包括x86 (Intel和AMD芯片),8,9,System z,手臂,可以允许未经授权的读访问内存。有三个独特的攻击路径,可能允许攻击者绕过保护和阅读记忆他们应该没有访问权。他们被你cf(常见的漏洞和风险)。这些都是:
- cve - 2017 - 5754:最严重的三个,这利用允许本地攻击者读取内存使用投机缓存加载和与内核补丁修正
- cve - 2017 - 5753:这是一个范围检查利用,也是纠正一个内核补丁
- cve - 2017 - 5715:这个问题是一个间接分支中毒专员会导致数据泄漏。它可以允许虚拟化来宾从主机系统读取内存。这是纠正与微码和内核和虚拟化更新客人和主机虚拟化软件。
用户应该做什么?
因为威胁和脆弱性链接的可能性(利用一个漏洞导致的能力利用另一个漏洞),Red Hat表明顾客更新他们的系统,即使他们不认为会影响到他们的威胁。他们建议这些红帽系统的影响:
- Red Hat Enterprise Linux 7. x
- Red Hat Enterprise Linux 6. x
- Red Hat Enterprise Linux 5. x
- Red Hat Enterprise Linux实时
- Red Hat Enterprise Linux为SAP应用程序
- 为SAP HANA Red Hat Enterprise Linux
- Red Hat Enterprise Linux为SAP解决方案
- 红帽企业著2
- Red Hat OpenShift 3. x
- Red Hat OpenShift 2. x
- Red Hat 4.1虚拟化(RHEV-H / RHV-H)
- Red Hat 3.6虚拟化(RHEV-H / RHV-H)
- Red Hat OpenStack平台12
- Red Hat OpenStack平台11
- Red Hat OpenStack平台10
- Red Hat OpenStack平台9
- Red Hat OpenStack平台8
- Red Hat OpenStack平台7
- Red Hat OpenStack平台6
红帽提供了背景信息的缺陷这个URL。
更多关于Metldown和幽灵可用的信息meltdownattack.com。
Red Hat的声明
经理声明克里斯罗宾逊产品安全保证,红色的帽子:
“这些漏洞(cve - 2017 - 5753, cve - 2017 - 5715,和cve - 2017 - 5754)代表一个访问限制绕过缺陷影响许多CPU体系结构和硬件的操作系统支持。工作与其他行业领导者,Red Hat开发了内核安全更新的产品在我们的投资组合来解决这些漏洞。我们正在与我们的客户和合作伙伴提供这些更新,连同我们的客户需要的信息快速安全的物理系统,虚拟映像,基于容器的部署。”
声明丹尼斯·杜马斯,副总统、操作系统平台,红色的帽子:
“这些漏洞对IT行业有广泛的影响,影响了许多现代微处理器,使攻击者绕过限制获得特权读访问内存,否则会无法通过侧边通道。简而言之,这些漏洞可能允许一个恶意的演员从几乎所有的计算机,窃取敏感信息的移动设备,或者云部署。重要的是,一些科技行业的领袖们,包括Red Hat,一起创建补丁,纠正这个问题,强调产业合作的价值。关键是人——从消费者到企业It组织——应用安全更新。因为这些安全更新可能会影响系统的性能,Red Hat包括的能力使他们有选择地为了更好地理解对敏感负载的影响。”