Содержание

Об уязвимости Zombieload / MDS

Расписание выпуска патчей


Об уязвимости Zombieload / MDS

Уязвимости становятся похожими на знаменитостей с причудливыми именами и собственными веб-сайтами.

Последние, чтобы попасть на сцену ZombieloadRIDL и Fallout, также известные как микроархитектурная выборка данных, (МДС для краткости), обнаруженный Intel и исследовано академические отделы в сфокусированных на безопасности учреждениях по всему миру. Эти уязвимости находятся в том же духе, что и Spectre и Meltdown, и являются недостатками дизайна, которые раскрывают данные. Zombieload вызывает особую тревогу, поскольку затрагивает все процессоры Intel Core и Xeon, выпущенные начиная с 2011.

Существует четыре различных регистрации уязвимостей, которые позволяют использовать эксплойт Zombieload: CVE – 2018 – 12126, CVE – 2018 – 12127, CVE – 2018 – 12130 и CVE – 2019 – 11091. Посмотрите на коды, и вы увидите три были зарегистрированы в прошлом году. Проблема держалась в секрете, практика, известная как Скоординированное раскрытиеостановить «плохих актеров», эксплуатирующих уязвимости, прежде чем остальные из нас смогут защититься от них. Microsoft, Amazon AWS Google все они смягчили проблему в своих центрах обработки данных, находясь во «внутреннем кругу» компаний, извлекающих выгоду из предварительного уведомления о таких проблемах. Любой другой должен ждать обновления от своего поставщика ОС.

KernelCare начала тестировать живые исправления для MDS в пятницу, май 17, сначала выпуская их для основных дистрибутивов, а затем - для других. Для получения последних новостей, следуйте за нами на @KernelCare.

Пока мы работаем над патчами для вас - посмотрите видео с информацией о MDS от Игоря Селецкого:

Как смягчить уязвимость MDS / Zombieload

а) Если вы работаете на оборудовании

Чтобы устранить эту уязвимость, вам нужно будет предпринять шаги 3, которые требуют нет перезагрузки если вы будете следовать инструкциям ниже:

Шаг 1:

Обновление микрокода без перезагрузки

Микрокод - это код, который работает внутри самого процессора и обрабатывается Intel. Обновление микрокода обычно выполняется при перезагрузке: вы получаете новое ядро, у него будет новый микрокод, а когда ядро ​​загружается, он устанавливает новый микрокод в ЦП.

Вы можете обновить микрокод без перезагрузки используя наши инструкции.

Шаг 2:

Отключить Гиперпоточность без перезагрузки

Если вы не отключите одновременную многопоточность ЦП (SMT) - у вас все равно будет проблема, при которой злоумышленник может читать данные того же ЦП.

С KernelCare вы можете отключить Hyperthreading без перезагрузки используя наши инструкции.

Шаг 3:

Применить исправления KernelCare

Даже если вы выполнили шаги 1 и 2, вы все равно должны обновить ядро ​​Linux, чтобы гарантировать, что локальный пользователь не сможет прочитать данные, которые вы запускаете на ЦП.

С KernelCare вы можете сделать это без перезагрузки. Подпишитесь на бесплатную пробную версию 30-days.

б) Если вы работаете на виртуальной машине

Вам нужно только исправить ядро ​​Linux внутри виртуальной машины. Убедитесь, что ваш хост-узел также обновлен, что обычно делается вашим поставщиком услуг.

Если вы используете KernelCare - ваши патчи будут автоматически доставляться KernelCare, и вам не нужно делать ничего лишнего.

Если нет - то самое время подписаться на бесплатную пробную версию 30-days.

График выпуска патчей для уязвимостей MDS / Zombieload

Обновлено пятница, май 24

Расписание выпуска обновлений KernelCare приведено ниже. Графики выпуска могут быть изменены. Проверяйте здесь регулярно или свяжитесь с нашей службой поддержки.

Выпущено в производство:

  • 6 CentOS
  • CentOSPlus для CentOS 6
  • CloudLinux OS 6
  • Ubuntu 18.04 LTS (бионический бобр)
  • Ubuntu 16.04 LTS (Xenial Xerus)
  • Oracle Enterprise Linux 6
  • Oracle Enterprise Linux 7
  • Oracle UEK 3
  • OpenVZ
  • Proxmox VE
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7

Патчи с производственного канала будут применены автоматически.

Вышел на тестовую подачу:

  • 7 CentOS
  • CentOSPlus для CentOS 7
  • Облачный Linux 6 гибрид

Чтобы установить патчи из тестовая подача, запустите команду:

kcarectl --test --update

Когда производственные обновления станут доступны, KernelCare будет автоматически использовать обычный канал.

Должен в пятницу, май 24

  • Debian 8
  • Debian 9
  • CloudLinux OS 7
  • Oracle Enterprise Linux

Должен в понедельник, май 27

  • Amazon Linux 1
  • Amazon Linux 2
  • 7 CentOS
  • CentOSPlus для CentOS 7
  • Oracle UEK 4
  • Oracle UEK 5
  • Ubuntu 14.04 LTS (Трасти Тар)
Новый призыв к действию

комментарии 31

  1. Почему Игорь Селецкий настаивает на том, чтобы быть голосом, никто не может понять чертово слово, которое он говорит. Мы понимаем, что он стоит за началом, но у FFS есть кто-то, кто может быть голосом в этих видео!

    1. Привет, Майн, это Александра Митрошкина, менеджер по маркетингу продуктов KernelCare.
      Мне жаль, что у вас возникли трудности с пониманием говорящего. Мы будем работать над тем, чтобы в будущем предоставить вам более понятный контент. Большое спасибо за ваш отзыв!

    1. Здравствуйте, Андре, я не уверен, что вы имеете в виду патчи или инструкции, так что я отвечу на оба. Сейчас мы на стадии тестирования с исправлениями. В некоторых дистрибутивах патчи должны быть в начале следующей недели.
      Что касается практических руководств, упомянутых в видео и посте в блоге, мы опубликуем их, как только будут выпущены первые исправления.

    1. Привет Макс, мы сейчас тестируем патчи.
      Мы планируем начать поставку исправлений в начале следующей недели.
      Следите за обновлениями.

    1. Здравствуйте, Артур, я боюсь, что из-за внутреннего недопонимания я предоставил вам неверную информацию о наших будущих планах поддержки OpenVZ 7 со стороны KernelCare. Мы не планируем поддерживать это распространение.

    1. Привет Донован, тебе нужно будет обновить микрокод и отключить SMT. Но прежде чем сделать это, диагностируйте свою уязвимость, используя руководство в этом статью от команды CloudLinux OS.

      Когда вы выполняете обновление микрокода и отключаете SMT (вы узнаете, нужно ли отключить его по ссылке выше), исправления ядра Linux будут доставляться KernelCare автоматически, без перезагрузки.

      1. По сути, если вы не перезагрузили через некоторое время, это не сработает, потому что они не существуют:
        / системы / устройства / системы / CPU / уязвимости

  2. Почему обновление ядра работает только для виртуальных машин? Не является обновленным гипервизором, и требуется его перезапуск. Я также видел обновленные пакеты qemu для флага md-clear.

    1. Привет, Стефан! Он работает и для жестких узлов, но вам нужно обновить микрокод и отключить SMT - тогда патчи будут применены автоматически - и без перезагрузок, если вы используете KernelCare.

  3. Можете ли вы спросить апстрим CloudLinux (я полагаю, CentOS), когда они обновят microcode_ctl с последними микрокодами, которые, например, будут исправлять процессоры E5 v4? Патчи были выпущены около недели, но обновления для пакета microcode_ctl нет. 🙁

    В качестве альтернативы CloudLinux может выдвинуть обновленный пакет, содержащий 20190514, а не 20190507 - таким образом, мы, работающие с процессорами v4 и v3, также могут быть исправлены.

      1. Привет Александра,

        пакет microcode_ctl, поставляемый CloudLinux и CentOS, содержит микрокоды 20190507, а не 20190514 (который является последним).

        20190514 представляет несколько новых версий микрокодов начиная с 20190507:

        Серия VLV C0 6-37-8 / 02 00000838 Atom Z
        VLV C0 6-37-8 / 0C 00000838 Celeron N2xxx, Pentium N35xx
        VLV D0 6-37-9 / 0F 0000090c Atom E38xx
        CHV C0 6-4c-3 / 01 00000368 Серия Atom X
        CHV D0 6-4c-4 / 01 00000411 Серия Atom X
        BDX-ML B0 / M0 / R0 6-4f-1 / ef 0b00002e-> 00000036 Xeon E5 / E7 v4; Core i7-69xx / 68xx
        DNV B0 6-5f-1 / 01 00000024-> 0000002e Серия Atom C

        1. Привет, Лукас, ты прав, сейчас пакет microcode_ctl, предоставляемый CloudLinux и CentOS, содержит только микрокод 20190507, а не 20190514. Причиной этого является то, что мы обычно следим за последними обновлениями RHEL / CentOS. Как только этот микрокод появится в апстриме - мы предоставим его для CloudLinuxOS.

      2. Это руководство по обновлению микрокода предназначено только для RHEL7. Это не правильно для CL6 ...

        stat: невозможно stat `/ usr / libexec / microcode_ctl / update_ucode ': такого файла или каталога нет

        stat: невозможно stat `/ sys / devices / system / cpu / microcode / reload ': такого файла или каталога нет

        1. Привет, Деян, спасибо, что обратили на это мое внимание! Сейчас мы работаем над исправлением документации. Пожалуйста, примите мои извинения за доставленные неудобства. Я буду упоминать вас в комментариях, когда мы это исправим.

      3. На процессоре Intel (R) Xeon (R) E5-2640 v4 @ 2.40GHz сервер с CL7 и SMT отключен с # echo off> / sys / devices / system / cpu / smt / control
        Обновление микрокода и ядра с помощью #yum upgrade microcode_ctl && yum install kernel-3.10.0-962.3.2.lve1.5.25.8.el7
        Сервер перезагрузился.
        # cat / sys / devices / system / cpu / уязвимости / mds возвращает следующее;
        Уязвимость: попытка очистки буферов ЦП, без микрокода; SMT отключен

          1. Привет Александра, это не правда. Это руководство предназначено только для обновления микрокода без перезагрузки. Перезагрузка всегда должна применять новый микрокод, но похоже, что этого не происходит после вашего последнего обновления пакета microcode_ctl, поэтому «/ sys / devices / system / cpu / уязвимости / mds» всегда возвращает «нет микрокода», даже если микрокод применяется вручную ,

          2. Здравствуйте Deyan, не могли бы вы создать билет в нашу службу поддержки здесь, Мои коллеги смогут углубиться в технические детали вашего дела, и мы будем избегать комментариев в комментариях. Спасибо!

          3. Я думаю, что мой пост не был хорошо понят. Ты имеешь в виду, что сейчас ты загружаешь пакет microcode_ctl 20190514 (который является самым последним) и поддерживает процессоры E5 v4?
            Лукас Ролф спросил, когда вы поддержите то же самое, и вы спросили, какую ошибку он получал, пытаясь применить 20190507. В своем ответе вы подтвердили, что пакет microcode_ctl, поставляемый в настоящее время CloudLinux и CentOS, содержит только микрокод 20190507, а не 20190514, который поддерживает процессоры E5 v4. Так что на данный момент те из нас, кто использует процессоры E5 v4, не исправлены, потому что предоставленный вами микрокод 20190507 не работает для процессоров E5 v4.

            Так как вы спросили Лукаса об ошибке, а он не предоставил. Я продолжил и сделал. Но я думаю, что ваш ответ указал мне в другом направлении.

          4. Пол, Лукас, Деян, извините, что дезинформировал вас - нам нужно подождать, пока микрокод 20190514 станет доступным из апстрима - мы вскоре выпустим его в CL OS

XHTML: Вы можете использовать эти теги: <a href="" title=""> <сокр название = ""> <акроним название = ""> <B> <BLOCKQUOTE цитируют = ""> <цитируют> <код> <Del DateTime = ""> <EM > <I> <д цитируют = ""> <s> <забастовка> <сильный>

Остались вопросы?

Если вы хотите запланировать демонстрацию KernelCare, задать вопросы или задать вопрос о пробной версии или продажах, позвоните нам по адресу + 1 (800) 231-7307, По электронной почте [Электронная почта защищена] или заполните эту форму.