Skip to content

Come mitigare le vulnerabilità di Spectre e Meltdown sui sistemi Linux?

Abbiamo bisogno del tuo aiuto per condividere le nostre cronache riguardanti l'informatica.

Soluzione:

Alan Cox ha condiviso un link dal blog di AMD:
https://www.amd.com/en/corporate/speculative-execution

Variante uno: Bypass del controllo dei limiti

Risolto dagli aggiornamenti del software/sistema operativo resi disponibili dai fornitori e dai produttori di sistemi.
produttori e venditori di sistemi. Si prevede un impatto trascurabile sulle prestazioni.

Variante due: Iniezione del bersaglio del ramo

Le differenze nell'architettura AMD significano che il rischio di sfruttamento di questa variante è quasi nullo.
di sfruttamento di questa variante. La vulnerabilità alla variante 2 non è stata
dimostrata sui processori AMD.

Variante 3: Carico della cache dei dati illecito

Nessuna vulnerabilità AMD a causa delle differenze di architettura AMD.

Sarebbe opportuno avere una conferma delle dichiarazioni di AMD da parte di terzi.

La "mitigazione" sui sistemi interessati richiederebbe un nuovo kernel e un riavvio, ma su molte distribuzioni non sono ancora stati rilasciati pacchetti con le correzioni:

  • https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/

Debian:

  • https://security-tracker.debian.org/tracker/CVE-2017-5715
  • https://security-tracker.debian.org/tracker/CVE-2017-5753
  • https://security-tracker.debian.org/tracker/CVE-2017-5754

Altre fonti di informazione che ho trovato:

  • https://lists.bufferbloat.net/pipermail/cerowrt-devel/2018-January/011108.html
  • https://www.reddit.com/r/Amd/comments/7o2i91/technical_analysis_of_spectre_meltdown/

27 gennaio 2018 Il microcodice Intel interrompe alcuni sistemi

L'aggiornamento 2018-01-08 del microcodice Intel per risolvere le falle di sicurezza della ramificazione dell'esecuzione speculativa ha rotto alcuni sistemi. Ciò ha interessato molti sistemi Ubuntu dall'8 gennaio al 21 gennaio. Il 22 gennaio 2018 Ubuntu ha rilasciato un aggiornamento che rimette a posto il vecchio Microcode del 2017-07-07.

Se avete riscontrato problemi con gli aggiornamenti, avete reinstallato Ubuntu e disattivato gli aggiornamenti tra il 2018-01-08 e il 2018-01-22, potreste voler riprovare gli aggiornamenti automatici di Ubuntu.

16 gennaio 2018 aggiornamento Spectre in 4.14.14 e 4.9.77

Se state già utilizzando le versioni del Kernel 4.14.13 o 4.9.76, come me, non c'è dubbio che dobbiate installare 4.14.14 e 4.9.77 quando usciranno tra un paio di giorni per mitigare la falla di sicurezza Spectre. Il nome di questa correzione è Retpoline e non ha il grave impatto sulle prestazioni precedentemente ipotizzato:

Greg Kroah-Hartman ha inviato le ultime patch per le release Linux 4.9 e 4.14.
e 4.14, che ora includono il supporto per Retpoline.

Questa X86_FEATURE_RETPOLINE è abilitata per tutte le CPU AMD/Intel. Per il pieno
supporto è necessario compilare il kernel con un compilatore GCC più recente che contenga
contenente il supporto per -mindirect-branch=thunk-extern. Le modifiche di GCC
sono state introdotte ieri in GCC 8.0 e sono in fase di
potenzialmente di essere riportate a GCC 7.3.

Coloro che vogliono disabilitare il supporto a Retpoline possono avviare i kernel patchati con
patchati con noretpoline.

Senza entrare nei dettagli di JavaScript, ecco come evitare immediatamente la falla Meltdown (e dal 10 gennaio 2018, la protezione Spectre)

Aggiornamento del 12 gennaio 2018

Protezione iniziale da Spectre è presente e sarà migliorata nelle settimane e nei mesi a venire.

Kernel Linux 4.14.13, 4.9.76 LTS e 4.4.111 LTS

Da questo articolo di Softpedia:

I kernel Linux 4.14.13, 4.9.76 LTS, e 4.4.111 LTS sono ora disponibili
per il download da kernel.org, e includono ulteriori correzioni contro la vulnerabilità di sicurezza
Spectre, oltre ad alcune regressioni rispetto alle versioni 4.14.12, 4.9.76 LTS e 4.4.111 LTS.
Linux 4.14.12, 4.9.75 LTS e 4.4.110 LTS rilasciati la scorsa settimana,
e alcuni problemi minori segnalati.

Questi problemi sembrano essere stati risolti ora, quindi è possibile aggiornare i sistemi operativi basati su
sistemi operativi basati su Linux alle nuove versioni del kernel rilasciate oggi.
oggi, che includono altri aggiornamenti x86, alcune correzioni per PA-RISC, s390 e PowerPC
(PPC), vari miglioramenti ai driver (Intel i915, crypto,
IOMMU, MTD) e le solite modifiche al kernel mm e core.

Molti utenti hanno avuto problemi con gli aggiornamenti di Ubuntu LTS del 4 gennaio 2018 e del 10 gennaio 2018. Io ho usato 4.14.13 per un paio di giorni senza alcun problema, tuttavia YMMV.


Aggiornamento del 7 gennaio 2018

Greg Kroah-Hartman ha scritto ieri un aggiornamento sullo stato delle falle di sicurezza del kernel Linux Meltdown e Spectre. Alcuni potrebbero definirlo il secondo uomo più potente del mondo Linux, proprio accanto a Linus. L'articolo riguarda i kernel stabili (discussi di seguito) e i kernel LTS, che la maggior parte degli utenti di Ubuntu possiede.


I kernel Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52 e 3.2.97 patchano la falla Meltdown

Da questo articolo:

Gli utenti sono invitati ad aggiornare immediatamente i loro sistemi

4 gennaio 2018 01:42 GMT - Da Marius Nestor

I manutentori del kernel Linux Greg Kroah-Hartman e Ben Hutchings hanno rilasciato nuove versioni delle serie di kernel Linux 4.14, 4.9, 4.4, 3.16, 3.18 e 3.12 LTS (Long Term Support) che, a quanto pare, correggono una delle due falle di sicurezza critiche che interessano la maggior parte dei processori moderni.

I kernel Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 e 3.2.97 sono ora disponibili per il download dal sito web kernel.org e gli utenti sono invitati ad aggiornare le loro distribuzioni GNU/Linux a queste nuove versioni se utilizzano immediatamente una di queste serie di kernel. Perché aggiornare? Perché, a quanto pare, sono state apportate delle patch a una vulnerabilità critica chiamata Meltdown.

Come riportato in precedenza, Meltdown e Spectre sono due exploit che colpiscono quasi tutti i dispositivi dotati di processori moderni (CPU) rilasciati negli ultimi 25 anni. Sì, questo significa quasi tutti i telefoni cellulari e i personal computer. Meltdown può essere sfruttato da un attaccante non privilegiato per ottenere informazioni sensibili memorizzate nella memoria del kernel.

La patch per la vulnerabilità Spectre è ancora in fase di elaborazione

Mentre Meltdown è una vulnerabilità grave che può esporre i vostri dati segreti, comprese le password e le chiavi di crittografia, Spectre è ancora peggiore e non è facile da risolvere. I ricercatori di sicurezza dicono che ci perseguiterà per un bel po' di tempo. Spectre è noto per sfruttare la tecnica di esecuzione speculativa utilizzata dalle moderne CPU per ottimizzare le prestazioni.

Finché il bug Spectre non sarà risolto, si raccomanda vivamente di aggiornare almeno le distribuzioni GNU/Linux a una delle versioni del kernel Linux rilasciate di recente. Cercate quindi nei repository software della vostra distro preferita il nuovo aggiornamento del kernel e installatelo il prima possibile. Non aspettate che sia troppo tardi, fatelo ora!


Ho usato il kernel 4.14.10 per una settimana, quindi scaricare e avviare la versione 4.14.11 del kernel mainline di Ubuntu non mi ha preoccupato più di tanto.

Gli utenti di Ubuntu 16.04 potrebbero trovarsi più a loro agio con le versioni del kernel 4.4.109 o 4.9.74 che sono state rilasciate contemporaneamente alla 4.14.11.

Se gli aggiornamenti regolari non installano la versione del kernel desiderata, è possibile farlo manualmente seguendo questa risposta di Ask Ubuntu: https://askubuntu.com/questions/879888/how-do-i-update-kernel-to-the-latest-mainline-version/879920#879920


4.14.12 - Che differenza fa un giorno

Meno di 24 ore dopo la mia risposta iniziale è stata rilasciata una patch per correggere la versione del kernel 4.14.11 che potrebbe essere stata rilasciata in fretta. L'aggiornamento alla 4.14.12 è consigliato a tutti gli utenti della 4.14.11. Greg-KH dice:

Annuncio il rilascio del kernel 4.14.12.

Tutti gli utenti della serie di kernel 4.14 devono aggiornare.

Ci sono alcuni problemi minori ancora noti con questo rilascio in cui le persone
hanno riscontrato. Si spera che vengano risolti questo fine settimana, dal momento che le
patch non sono ancora arrivate nell'albero di Linus.

Per ora, come sempre, vi invitiamo a testare il vostro ambiente.

Guardando questo aggiornamento non sono state modificate molte righe di codice sorgente.

Questa falla può essere sfruttata da remoto visitando un sito web in JavaScript.

Infatti. Quindi, una mitigazione ragionevole è quella di disabilitare JavaScript nei browser web, o di utilizzare browser web che non supportano JavaScript.

La maggior parte dei browser che supportano JavaScript ha un'impostazione per disabilitarlo. In alternativa, se si desidera mantenere una whitelist di siti o domini per i quali consentire JavaScript, esistono vari componenti aggiuntivi che possono aiutare, come uBlock Origin e NoScript.

N.B. Va da sé che la disabilitazione/restrizione di JavaScript non dovrebbe essere il vostro solo mitigazione. Dovreste inoltre esaminare (e probabilmente applicare) tutte le correzioni del kernel e gli altri aggiornamenti di sicurezza una volta che sono stati scritti, testati e pubblicati. Sulle distribuzioni derivate da Debian, utilizzare comandi come sudo apt update, sudo apt list-upgradablee sudo apt upgrade.

Aggiornamento: non credetemi sulla parola. Alan Cox dice più o meno lo stesso:

Cosa vi deve interessare il grande tempo è il javascript, perché l'exploit può essere usato in remoto dal javascript nelle pagine web per rubare materiale dalla memoria del sistema. ... prendete in considerazione cose come gli Adblocker e le estensioni come noscript che possono impedire l'esecuzione di molte cose inutili. Fatelo il prima possibile. Quando appaiono gli aggiornamenti del sistema operativo, applicarli. (Fonte)

Ricorda che puoi diffondere questa divisione se ti è stato utile.



Utilizzate il nostro motore di ricerca

Ricerca
Generic filters

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.