Contents [show]
1 Zombieload / MDSの脆弱性について
2 パッチリリーススケジュール

Zombieload / MDSの脆弱性について

脆弱性は有名人のようになり、気まぐれな名前と自分のウェブサイトがあります。

最新のシーンは、次のとおりです。 ゾンビエロード、RIDLおよびFallout、マイクロアーキテクチャデータサンプリングとしても知られている、MDS (略して)によって発見された インテル とによって研究された 学部 世界中のセキュリティ重視の機関で。 これらの脆弱性は、SpecterおよびMeltdownと同じ問題であり、データを明らかにする設計上の欠陥です。 Zombieloadは、2011以降に製造されたすべてのIntel CoreおよびXeon CPUに影響を与えるため、特に心配です。

Zombieloadの悪用を可能にするために組み合わされる4つの異なる脆弱性登録があります: コードを見て、あなたは3つが昨年登録されたのを見るでしょう。 この問題はラップとして管理されてきました。 協調的開示「悪意のある行為者」が脆弱性を悪用して他の人々がそれらを防御できるようになるのを防ぐため。 マイクロソフト, アマゾンAWS   グーグル そのような問題の事前通知から恩恵を受ける企業の「内側の輪」にいることで、すべての人がデータセンターの問題を軽減しています。 他の誰もが彼らのOSベンダーからのアップデートを待たなければなりません。

KernelCareは5月の金曜日にMDS用のライブパッチのテストを開始しました。 すべての主要ディストリビューションでロールアウト、間もなく他の人と一緒に。 最新のニュースについては、私たちに従ってください @KernelCare.

下記のIgor SeletskiyからMDSに関する洞察を得てビデオをご覧になるか、再起動を必要とせずにMDS / Zombieloadの脆弱性を軽減する方法についての手順をスクロールダウンしてください。

新しい行動を促す

MDS / Zombieloadの脆弱性を緩和する方法

ハードウェア上で実行している場合

この脆弱性を緩和するためには、以下を必要とする3ステップを踏む必要があります。 再起動しない 以下の手順に従った場合:

ステップ1: 再起動せずにマイクロコードを更新する

マイクロコードは、CPU自体の内部で実行されるコードで、Intelによって処理されます。 マイクロコードの更新は通常、再起動時に行われます。新しいカーネルを入手すると、新しいマイクロコードが作成され、カーネルの起動時に新しいマイクロコードがCPUにインストールされます。 再起動せずにマイクロコードを更新できます 私たちの指示を使って.

ステップ2: 再起動せずにハイパースレッディングを無効にする

あなたがCPU同時マルチスレッド(SMT)を無効にしないなら - あなたはまだ攻撃者が同じCPUのデータを読むことができるという問題を抱えるでしょう。 KernelCareを使えば、再起動なしでハイパースレッディングを無効にすることができます。 私たちの指示を使って.

ステップ3:KernelCareパッチを適用する

ステップ1および2を実行した場合でも、ローカルユーザーがCPU上で実行しているデータを読み取れないように、Linuxカーネルを更新する必要があります。 KernelCareを使えば、再起動せずにそれを実行できます。 30の無料トライアルにサインアップ.

仮想マシンで実行している場合

VM内のLinuxカーネルにパッチをあてるだけです。 ホストノードも同様に更新されていることを確認してください。これは通常、サービスプロバイダによって行われます。

KernelCareを使用している場合 - パッチはKernelCareによって自動的に配布されます。追加の作業は必要ありません。 そうでなければ - これが正しい時です 無料の30日トライアルにサインアップ.

MDS / Zombieloadの脆弱性修正プログラムのリリーススケジュール

月曜日、5月に更新27

KernelCareパッチリリーススケジュールは以下の通りです。 リリーススケジュールは変更されることがあります。 定期的にこちらをチェックするか、当社のヘルプデスクに連絡してください。

製造にリリース:

  • CentOS 6
  • CentOS 6用のCentOSPlus
  • CentOS 7
  • CentOS 7用のCentOSPlus
  • CloudLinux OS 6
  • Debian 8, XNUMX, XNUMX
  • Debian 9, XNUMX, XNUMX
  • Ubuntu 14.04 LTS(トラスティタール)
  • Ubuntu 16.04 LTS(ゼニアルゼロス)
  • Ubuntu 18.04 LTS(バイオニックビーバー)
  • Oracle Enterprise Linux
  • Oracle Enterprise Linux 6
  • Oracle Enterprise Linux 7
  • Oracle UEK 3
  • Oracle UEK 4
  • Oracle UEK 5
  • OpenVZ
  • Proxmox VE
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Amazon Linux 1
  • Amazon Linux 2

生産フィードからのパッチは自動的に適用されます。

テストフィードにリリース:

  • クラウドLinux 6ハイブリッド

からパッチをインストールするには テストフィード次のコマンドを実行します。

kcarectl --test --update

実動アップデートが入手可能になると、KernelCareは通常のフィードを自動的に使用します。

期限週24:

  • CloudLinux OS 7

40コメント

  1. なぜIgor Seletskiyが声であると主張するのですか、誰も彼が言う曖昧な言葉を理解することができません。 私達は彼がこれの開始の後ろにあることを理解しています、しかしFFSはこれらのビデオの声であることができる誰かを得ます!

    1. こんにちはMineさん、これはKernelCareのプロダクトマーケティングマネージャ、Aleksandra Mitroshkinaです。
      あなたが話者を理解するのに苦労しなければならなかったのは残念です。 私達はあなたにもっと分かりやすい内容を将来提供するためにナレーションに取り組みます。 ご意見ありがとうございます。

    2. エディ・エトワール

      興味深いことに、私は彼を理解しても問題ないし、私もニューヨーカーです。私は似たようなアクセントを持つ友人がほとんどいないし、特別な語学力もありません。 私はイゴールが非常に知識豊富で、非常に興味深い講演者であると思います。 私は彼の声を失うことに失望するでしょう。

    1. Andreさん、こんにちは。あなたがパッチやハウツーガイドを参照しているのかどうかわかりませんので、両方に答えましょう。 私達は今パッチでテスト段階にあります。 一部のディストリビューションでは、パッチは来週初めになるでしょう。
      ビデオやブログ投稿で説明されているハウツーガイドに関しては - 最初のパッチが生産されるとすぐに我々はこれらを公表するつもりです。

    1. こんにちはマックス、私たちは今パッチをテストしています。
      来週初めにパッチの配布を開始する予定です。
      アップデートをお楽しみに。

    1. アーサーさん、こんにちは。ご質問ありがとうございます。
      はい、これはパイプラインの中にあります。 最新の状態に保つために私たちのソーシャルメディアチャンネルに従ってください。

    2. Arthurさん、こんにちは。KernelCareによるOpenVZ 7サポートについての私達の将来の計画について間違った情報を私があなたに提供した内部の誤解のせいで私は怖いです。 この配布をサポートする予定はありません。

  2. 私のサーバー上にkernelcareがあるcloudlinux OSがある場合、これはkernel careで更新されますか? それとも私は手動で何かをする必要がありますか?

    1. こんにちはDonovan、あなたはマイクロコードの更新とSMTの無効化をする必要があるでしょう。 しかしその前に、このガイドを使ってあなたの脆弱性を診断してください。 記事 CloudLinux OSチームによる。

      mictocodeの更新とSMTの無効化を実行すると(上記のリンクから無効にする必要があるかどうかがわかります)、Linuxカーネルパッチは再起動なしで自動的にKernelCareによって配布されます。

      1. 基本的に、しばらくしてから再起動していない場合、これは機能しません。これらは存在しないからです。
        / sys / devices / system / cpu /脆弱性

  3. カーネルアップデートがVMにしか機能しないのはなぜですか? 更新されたハイパーバイザーではなく、再起動が必要です。 md-clearフラグ用のqemuパッケージのアップデートも見ました。

    1. こんにちはStefanさん、これはハードノードでも動作しますが、マイクロコードを更新してSMTを無効にする必要があります。そうするとKernelCareを使用する場合、パッチは自動的に適用されます。

        1. こんにちはStefan、
          えーと、qemuのmd-clearはゲスト情報のためのcpuidの中で少しです。
          パッチを当てられたカーネルはどんな場合でも保護を有効にします。

  4. あなたはおそらくCloudLinuxの上流(CentOSと思う?)に、それらが例えばE5 v4 CPUにパッチを当てる最新のマイクロコードでmicrocode_ctlをアップグレードする時に尋ねることができますか? パッチは1週間ほどリリースされていますが、microcode_ctlパッケージの更新はありません。

    あるいはCloudLinuxは20190514ではなく20190507を含むアップデートパッケージをプッシュすることができます - このようにして、v4とv3 CPUを実行する私達は実際に同様にパッチを当てることができます。

      1. こんにちはアレクサンドラ、

        CloudLinuxとCentOSが提供するmicrocode_ctlパッケージには、20190507ではなく20190514(最新のもの)のマイクロコードが含まれています。

        20190514は、20190507以降、いくつかの新しいマイクロコードバージョンを導入しています。

        VLV C0 6-37-8 / 02 00000838 Atom Zシリーズ
        VLV C0 6-37-8 / 0C 00000838 Celeron N2xxx、Pentium N35xx
        VLV D0 6-37-9 / 0F 0000090cアトムE38xx
        CHV C0 6 - 4 C - 3 / 01 00000368 Atom Xシリーズ
        CHV D0 6 - 4 C - 4 / 01 00000411 Atom Xシリーズ
        BDX-ML B0 / M0 / R0 6-4f-1 / ef 0b00002e-> 00000036 Xeon E5 / E7 v4。 コアi7-69xx / 68xx
        DNV B0 6 - 5f - 1 / 01 00000024 - > 0000002e Atom Cシリーズ

        1. こんにちは、Lucas、あなたは正しい、CloudLinuxとCentOSが提供するmicrocode_ctlパッケージは20190507ではなく20190514マイクロコードのみを含んでいます。 その背後にある理由は、通常RHEL / CentOSのアップストリームアップデートに従うことです。 このマイクロコードがアップストリームに現れるとすぐに - 私たちはそれをCloudLinuxOSに提供します。

      2. このマイクロコード更新マニュアルはRHEL7専用です。 CL6には正しくありません...

        stat:/ usr / libexec / microcode_ctl / update_ucodeをstatできません:そのようなファイルやディレクトリはありません

        stat:/ sys / devices / system / cpu / microcode / reloadを統計できません:そのようなファイルやディレクトリはありません

        1. こんにちはDeyan、これを私の注意に持ってきてくれてありがとう! 我々は現在ドキュメントの修正に取り組んでいます。 ご不便をおかけして申し訳ありません。 修正した場合はコメント欄でお伝えします。

      3. CL5およびSMTを実行しているIntel(R)Xeon(R)CPUのE2640-4 v2.40 @ 7GHzサーバーで#echo off> / sys / devices / system / cpu / smt / controlで無効
        #yum upgrade microcode_ctl && yum install kernel-3.10.0-962.3.2.lve1.5.25.8.el7でマイクロコードとカーネルをアップグレード
        サーバーが再起動しました。
        #cat / sys / devices / system / cpu /脆弱性/ mdsは以下を返します。
        脆弱:CPUバッファをクリアしようとしましたが、マイクロコードはありません。 SMTが無効

        1. 間違っているので、これを読んでください。こんにちは、Paul、あなたは説明されているように実際のマイクロコードを更新する必要があります。 詳細はこちらmicrocode_ctlパッケージをアップグレードするだけでは不十分です。

          1. こんにちはアレクサンドラ、それは本当ではありません。 そのマニュアルは再起動せずにマイクロコードを更新することだけです。 再起動は常に新しいマイクロコードを適用する必要がありますが、最新のmicrocode_ctlパッケージのアップグレード後は発生していないため、手動でマイクロコードを適用しても「/ sys / devices / system / cpu /脆弱性/ mds」は常に「no microcode」を返します。 。

          2. Deyanさん、こんにちは。サポートチームへのチケットを作成してください 詳細はこちら。 私の同僚はあなたの訴訟の技術的な詳細をもっと深く掘り下げることができるでしょう、そして私たちはコメントの中で行ったり来たりするのを避けます。 ありがとうございました!

          3. 私の投稿はよく理解されていなかったと思います。 microcode_ctlパッケージ20190514(これは最新のものです)をプッシュしており、E5 v4 CPUをサポートしていますか?
            Lucas Rolffは、あなたが同じものをサポートするのかと尋ね、そして彼が20190507を適用しようとしているエラーを尋ねました。 彼に対するあなたの応答では、現時点でCloudLinuxおよびCentOSによって提供されているmicrocode_ctlパッケージには、20190507マイクロコードのみが含まれ、E20190514 v5 CPUをサポートする4は含まれていないことを確認しました。 今のところ、あなたが提供した5マイクロコードがE4 v20190507 CPUのために働かないので、今のところ、E5 v4 CPUを使っている人々はパッチを当てられていません。

            あなたはLucasにエラーを尋ねたので彼は提供しなかったので。 私は先に進みました。 しかし、私はあなたの答えが私に別の方向を示していると思います。

          4. Paul、Lucas、Deyan、申し訳ありませんが、20190514マイクロコードがアップストリームから入手可能になるのを待つ必要があります。その直後にCL OSでリリースする予定です。

    1. こんにちはリチャード、私達はこれらをすぐに生産に移すことに取り組んでいます。
      投稿が更新され、準備ができたらFacebookのページで発表します。
      遅延によるご不便をおかけして申し訳ありません。

    1. Andreさん、こんにちは。KernelCareチームはCL7のパッチに取り組んでいます。 ご迷惑をおかけして申し訳ありませんが、ご了承ください。

      1. ライアン・スミス

        この長い遅れについての説明はありますか? CL7のパッチはもっと複雑ですか、それとも問題がありますか? あなた自身のOS用のパッチが優先されることを期待していたでしょう。

    1. こんにちはSumesh、あなたの質問をありがとう。 私たちはこれらのパッチに積極的に取り組んでいます。 ETAは明日知られる予定です。 あなたは私たちのソーシャルチャンネルで通知を受け取ります。

XHTML: あなたはこれらのタグを使うことができます: <ahref=""使用することができますtitle=""><abbr title = ""> <頭字語タイトル= ""> <B> <BLOCKQUOTE引用= ""> <コード> <引用> <デル日時を= ""> <EMを> <i>は<Q>は、<S> <ストライキ>の<strong> "" =を引用

ご質問はございますでしょうか?

KernelCareのデモをご希望、質問がある、またはお試しや購入に関するお問い合わせにつきましては、日本国内正規代理店 GDEPソリューションズ株式会社  1-800-231 、に電話をするか、[email protected] [電子メールが保護された]に電子メールを送るか、もしくは こちらのフォームに記入してください。.