Contents [show]
1. Об уязвимости Zombieload / MDS
2. Расписание выпуска патчей

Об уязвимости Zombieload / MDS

Уязвимости становятся похожими на знаменитостей с причудливыми именами и собственными веб-сайтами.

Последние, чтобы попасть на сцену ZombieloadRIDL и Fallout, также известные как микроархитектурная выборка данных, (МДС для краткости), обнаруженный Intel и исследовано академические отделы в сфокусированных на безопасности учреждениях по всему миру. Эти уязвимости находятся в том же духе, что и Spectre и Meltdown, и являются недостатками дизайна, которые раскрывают данные. Zombieload вызывает особую тревогу, поскольку затрагивает все процессоры Intel Core и Xeon, выпущенные начиная с 2011.

Существует четыре различных регистрации уязвимостей, которые позволяют использовать эксплойт Zombieload: CVE – 2018 – 12126, CVE – 2018 – 12127, CVE – 2018 – 12130 и CVE – 2019 – 11091. Посмотрите на коды, и вы увидите три были зарегистрированы в прошлом году. Проблема держалась в секрете, практика, известная как Скоординированное раскрытиеостановить «плохих актеров», эксплуатирующих уязвимости, прежде чем остальные из нас смогут защититься от них. Microsoft, Amazon AWS Google все они смягчили проблему в своих центрах обработки данных, находясь во «внутреннем кругу» компаний, извлекающих выгоду из предварительного уведомления о таких проблемах. Любой другой должен ждать обновления от своего поставщика ОС.

KernelCare начал тестировать живые исправления для MDS в пятницу, май 17, и сейчас они выкатил для всех основных дистрибутивов, с другими в ближайшее время, чтобы следовать. Для получения последних новостей, следуйте за нами на @KernelCare.

Посмотрите видео с информацией о MDS от Игоря Селецкого ниже или прокрутите вниз, чтобы узнать, как уменьшить уязвимость MDS / Zombieload без перезагрузки.

Новый призыв к действию

Как смягчить уязвимость MDS / Zombieload

Если вы работаете на оборудовании:

Чтобы устранить эту уязвимость, вам нужно будет предпринять шаги 3, которые требуют нет перезагрузки если вы будете следовать инструкциям ниже:

Шаг 1: Обновление микрокода без перезагрузки

Микрокод - это код, который работает внутри самого процессора и обрабатывается Intel. Обновление микрокода обычно выполняется при перезагрузке: вы получаете новое ядро, у него будет новый микрокод, а когда ядро ​​загружается, он устанавливает новый микрокод в ЦП. Вы можете обновить микрокод без перезагрузки используя наши инструкции.

Шаг 2: Отключить Гиперпоточность без перезагрузки

Если вы не отключите одновременную многопоточность ЦП (SMT) - у вас все равно будет проблема, при которой злоумышленник может читать данные того же ЦП. С KernelCare вы можете отключить Hyperthreading без перезагрузки используя наши инструкции.

Шаг 3: примените исправления KernelCare

Даже если вы выполнили шаги 1 и 2, вы все равно должны обновить ядро ​​Linux, чтобы гарантировать, что локальный пользователь не сможет прочитать данные, которые вы запускаете на ЦП. С KernelCare вы можете сделать это без перезагрузки. Подпишитесь на бесплатную пробную версию 30.

Если вы работаете на виртуальной машине:

Вам нужно только исправить ядро ​​Linux внутри виртуальной машины. Убедитесь, что ваш хост-узел также обновлен, что обычно делается вашим поставщиком услуг.

Если вы используете KernelCare - ваши патчи будут автоматически доставляться KernelCare, и вам не нужно делать ничего лишнего. Если нет - то самое время подписаться на бесплатную пробную версию 30.

График выпуска патчей для уязвимостей MDS / Zombieload

Обновлено понедельник, май 27

Расписание выпуска обновлений KernelCare приведено ниже. Графики выпуска могут быть изменены. Проверяйте здесь регулярно или свяжитесь с нашей службой поддержки.

Выпущено в производство:

  • 6 CentOS
  • CentOSPlus для CentOS 6
  • 7 CentOS
  • CentOSPlus для CentOS 7
  • CloudLinux OS 6
  • Облачный Linux 6 гибрид
  • CloudLinux OS 7
  • Debian 8
  • Debian 9
  • Ubuntu 14.04 LTS (Трасти Тар)
  • Ubuntu 16.04 LTS (Xenial Xerus)
  • Ubuntu 18.04 LTS (бионический бобр)
  • Oracle Enterprise Linux
  • Oracle Enterprise Linux 6
  • Oracle Enterprise Linux 7
  • Oracle UEK 3
  • Oracle UEK 4
  • Oracle UEK 5
  • OpenVZ
  • Proxmox VE
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Amazon Linux 1
  • Amazon Linux 2

Патчи с производственного канала будут применены автоматически.

комментарии 43

  1. Почему Игорь Селецкий настаивает на том, чтобы быть голосом, никто не может понять чертово слово, которое он говорит. Мы понимаем, что он стоит за началом, но у FFS есть кто-то, кто может быть голосом в этих видео!

    1. Привет, Майн, это Александра Митрошкина, менеджер по маркетингу продуктов KernelCare.
      Мне жаль, что у вас возникли трудности с пониманием говорящего. Мы будем работать над тем, чтобы в будущем предоставить вам более понятный контент. Большое спасибо за ваш отзыв!

    2. Интересно, так как у меня нет проблем с пониманием его, и я житель Нью-Йорка - у меня мало друзей с похожими акцентами и у меня нет особых языковых навыков. Я считаю Игоря невероятно знающим и очень интересным оратором. Я был бы разочарован, потеряв голос.

    1. Здравствуйте, Андре, я не уверен, что вы имеете в виду патчи или инструкции, так что я отвечу на оба. Сейчас мы на стадии тестирования с исправлениями. В некоторых дистрибутивах патчи должны быть в начале следующей недели.
      Что касается практических руководств, упомянутых в видео и посте в блоге, мы опубликуем их, как только будут выпущены первые исправления.

    1. Привет Макс, мы сейчас тестируем патчи.
      Мы планируем начать поставку исправлений в начале следующей недели.
      Следите за обновлениями.

    1. Здравствуйте, Артур, я боюсь, что из-за внутреннего недопонимания я предоставил вам неверную информацию о наших будущих планах поддержки OpenVZ 7 со стороны KernelCare. Мы не планируем поддерживать это распространение.

    1. Привет Донован, тебе нужно будет обновить микрокод и отключить SMT. Но прежде чем сделать это, диагностируйте свою уязвимость, используя руководство в этом статью от команды CloudLinux OS.

      Когда вы выполняете обновление микрокода и отключаете SMT (вы узнаете, нужно ли отключить его по ссылке выше), исправления ядра Linux будут доставляться KernelCare автоматически, без перезагрузки.

      1. По сути, если вы не перезагрузили через некоторое время, это не сработает, потому что они не существуют:
        / системы / устройства / системы / CPU / уязвимости

  2. Почему обновление ядра работает только для виртуальных машин? Не является обновленным гипервизором, и требуется его перезапуск. Я также видел обновленные пакеты qemu для флага md-clear.

    1. Привет, Стефан! Он работает и для жестких узлов, но вам нужно обновить микрокод и отключить SMT - тогда патчи будут применены автоматически - и без перезагрузок, если вы используете KernelCare.

  3. Можете ли вы спросить апстрим CloudLinux (я полагаю, CentOS), когда они обновят microcode_ctl с последними микрокодами, которые, например, будут исправлять процессоры E5 v4? Патчи были выпущены около недели, но обновления для пакета microcode_ctl нет. 🙁

    В качестве альтернативы CloudLinux может выдвинуть обновленный пакет, содержащий 20190514, а не 20190507 - таким образом, мы, работающие с процессорами v4 и v3, также могут быть исправлены.

      1. Привет Александра,

        пакет microcode_ctl, поставляемый CloudLinux и CentOS, содержит микрокоды 20190507, а не 20190514 (который является последним).

        20190514 представляет несколько новых версий микрокодов начиная с 20190507:

        Серия VLV C0 6-37-8 / 02 00000838 Atom Z
        VLV C0 6-37-8 / 0C 00000838 Celeron N2xxx, Pentium N35xx
        VLV D0 6-37-9 / 0F 0000090c Atom E38xx
        CHV C0 6-4c-3 / 01 00000368 Серия Atom X
        CHV D0 6-4c-4 / 01 00000411 Серия Atom X
        BDX-ML B0 / M0 / R0 6-4f-1 / ef 0b00002e-> 00000036 Xeon E5 / E7 v4; Core i7-69xx / 68xx
        DNV B0 6-5f-1 / 01 00000024-> 0000002e Серия Atom C

        1. Привет, Лукас, ты прав, сейчас пакет microcode_ctl, предоставляемый CloudLinux и CentOS, содержит только микрокод 20190507, а не 20190514. Причиной этого является то, что мы обычно следим за последними обновлениями RHEL / CentOS. Как только этот микрокод появится в апстриме - мы предоставим его для CloudLinuxOS.

      2. Это руководство по обновлению микрокода предназначено только для RHEL7. Это не правильно для CL6 ...

        stat: невозможно stat `/ usr / libexec / microcode_ctl / update_ucode ': такого файла или каталога нет

        stat: невозможно stat `/ sys / devices / system / cpu / microcode / reload ': такого файла или каталога нет

        1. Привет, Деян, спасибо, что обратили на это мое внимание! Сейчас мы работаем над исправлением документации. Пожалуйста, примите мои извинения за доставленные неудобства. Я буду упоминать вас в комментариях, когда мы это исправим.

      3. На процессоре Intel (R) Xeon (R) E5-2640 v4 @ 2.40GHz сервер с CL7 и SMT отключен с # echo off> / sys / devices / system / cpu / smt / control
        Обновление микрокода и ядра с помощью #yum upgrade microcode_ctl && yum install kernel-3.10.0-962.3.2.lve1.5.25.8.el7
        Сервер перезагрузился.
        # cat / sys / devices / system / cpu / уязвимости / mds возвращает следующее;
        Уязвимость: попытка очистки буферов ЦП, без микрокода; SMT отключен

          1. Привет Александра, это не правда. Это руководство предназначено только для обновления микрокода без перезагрузки. Перезагрузка всегда должна применять новый микрокод, но похоже, что этого не происходит после вашего последнего обновления пакета microcode_ctl, поэтому «/ sys / devices / system / cpu / уязвимости / mds» всегда возвращает «нет микрокода», даже если микрокод применяется вручную ,

          2. Здравствуйте Deyan, не могли бы вы создать билет в нашу службу поддержки здесь, Мои коллеги смогут углубиться в технические детали вашего дела, и мы будем избегать комментариев в комментариях. Спасибо!

          3. Я думаю, что мой пост не был хорошо понят. Ты имеешь в виду, что сейчас ты загружаешь пакет microcode_ctl 20190514 (который является самым последним) и поддерживает процессоры E5 v4?
            Лукас Ролф спросил, когда вы поддержите то же самое, и вы спросили, какую ошибку он получал, пытаясь применить 20190507. В своем ответе вы подтвердили, что пакет microcode_ctl, поставляемый в настоящее время CloudLinux и CentOS, содержит только микрокод 20190507, а не 20190514, который поддерживает процессоры E5 v4. Так что на данный момент те из нас, кто использует процессоры E5 v4, не исправлены, потому что предоставленный вами микрокод 20190507 не работает для процессоров E5 v4.

            Так как вы спросили Лукаса об ошибке, а он не предоставил. Я продолжил и сделал. Но я думаю, что ваш ответ указал мне в другом направлении.

          4. Пол, Лукас, Деян, извините, что дезинформировал вас - нам нужно подождать, пока микрокод 20190514 станет доступным из апстрима - мы вскоре выпустим его в CL OS

    1. Привет Ричард, мы работаем над тем, чтобы перенести их в производство в ближайшее время.
      Обновите пост и объявите его на нашей странице в Фейсбуке, когда будете готовы.
      Пожалуйста, примите мои извинения за любые неудобства, вызванные задержкой.

    1. Здравствуйте, Андре, команда KernelCare работает над патчем для CL7. Мы приносим извинения за любые неудобства, которые может вызвать эта задержка, и надеемся на ваше понимание.

      1. Любое объяснение этой долгой задержки? Патч более сложный или проблемный на CL7? Я бы ожидал, что патч для вашей собственной ОС будет иметь приоритет.

    1. Привет, Сумеш, спасибо за твой вопрос. Мы активно работаем над этими патчами. ЭТА будет известна завтра. Вы получите уведомление в наших социальных сетях.

  4. Есть новости о микрокоде? Мои машины все еще уязвимы:

    [root @ hotspare ~] # cat / sys / devices / system / cpu / уязвимости / mds
    Уязвимость: попытка очистки буферов ЦП, без микрокода; SMT отключен

    процессор: 15
    vendor_id: GenuineIntel
    семейство процессоров: 6
    модель: 45
    Название модели: Intel (R) Xeon (R) CPU E5-2690 0 @ 2.90GHz
    степпинг: 7
    микрокод: 0x714
    процессор, МГц: 1199.896
    размер кеша: 20480 КБ

      1. Для других людей, имеющих эту проблему: микрокод выпускается не для всех процессоров, так что вам может не повезти. Проверьте / sys / devices / system / cpu / уязвимости / mds, чтобы убедиться, что вы защищены.

XHTML: Вы можете использовать эти теги: <a href="" title=""> <сокр название = ""> <акроним название = ""> <B> <BLOCKQUOTE цитируют = ""> <цитируют> <код> <Del DateTime = ""> <EM > <I> <д цитируют = ""> <s> <забастовка> <сильный>

Остались вопросы?

Если вы хотите запланировать демонстрацию KernelCare, задать вопросы или задать вопрос о пробной версии или продажах, позвоните нам по адресу + 1 (800) 231-7307, электронная почта sales@cloudlinux.com или заполните эту форму.