Nieuwe ‘Spook-klasse’ gebreken in de Intel Cpu ‘ s kan binnenkort worden bekendgemaakt
Rapporten zijn opkomende over acht nieuwe ‘Spook-class’ – beveiliging CPU kwetsbaarheden. Lees meer: https://zd.net/2wjWREu
Zombieload klinkt als een slechte horror volwassen film, maar het is eigenlijk de laatste klasse van de Intel-processors beveiligingsproblemen. Ontdekt door onderzoekers, kunnen aanvallers gebruiken Zombieload te stelen van de gegevens die worden gebruikt binnen een CPU.
Oh, jongen.
De onderzoekers hebben aangetoond dat er een Zombieload exploiteren die kan kijken over uw virtuele schouder om te zien op de websites die u bezoekt in real-time. Hun voorbeeld toonde aan iemand die een ander iemand met de privacy-bescherming van de Tor Browser draait in een virtuele machine (VM).
Zombieload meer formele naam is “Microarchitectural Gegevens te verzamelen (MDS).” Het is de meer gangbare naam is afkomstig uit het concept van een “zombie laden.” Dit is een hoeveelheid data die een processor het niet aankan. De chip, dan vraagt om hulp van de microcode om te voorkomen dat een crash. Normaal gesproken, toepassingen, virtuele machines (vm ‘ s) en containers kunnen alleen hun eigen gegevens. Maar de Zombieload de kwetsbaarheden die een aanvaller de mogelijkheid om te spioneren op de gegevens over de normale grenzen op van alle moderne Intel-processors.
In tegenstelling tot de eerdere Crisis en de Spectre problemen, Intel de tijd gekregen om zelf klaar voor dit probleem. Intel heeft van de microcode-patches. Deze helpen duidelijk de processor buffers, waardoor wordt voorkomen dat gegevens worden gelezen.
Om jezelf te verdedigen, de processor moet worden bijgewerkt, moet uw besturingssysteem te prijzen, en voor de meeste bescherming, Hyper-Threading uitgeschakeld. Wanneer Kernsmelting en Spectre liet zien, de Linux-ontwikkelaars werden achtergelaten in het donker en krabbelde patch Linux. Deze keer, ze zijn bewaard in de lus.
Zombieload, het te exploiteren, heeft drie unieke aanval paden waardoor een aanvaller voor het uitvoeren van een side-channel aanvallen te omzeilen van beveiligingen te lezen geheugen. De vier Gemeenschappelijke Kwetsbaarheid en Vorderingen (CVEs) voor dit probleem zijn:
CVE-2018-12126 is een fout die kan leiden tot openbaarmaking van informatie van de processor store buffer.CVE-2018-12127 is een exploit van de microprocessor die het laden van bewerkingen die gegevens kunt leveren aan een aanvaller over CPU-registers en de activiteiten in de CPU pijplijn.
CVE-2018-12130 is de meest serieuze van de drie problemen, heeft betrekking op de uitvoering van de microprocessor vul buffers, en kan bloot gegevens binnen die buffer.
CVE-2019-11091 is een fout in de uitvoering van het “vullen van de buffer,” een mechanisme dat wordt gebruikt door moderne Cpu ‘ s als een cache-miss is gemaakt op L1 CPU-cache.
Dus, hoe erg is het?
Red Hat, die leidt de weg in het omgaan met Linux security problemen, nominaal 12130 als ernst van de gevolgen van “belangrijk”, terwijl de anderen hebben een matige ernst.
Greg Kroah-Hartman, de stabiele Linux kernel onderhouder, botweg schreef:
Ik ben de aankondiging van de release van het 5.1.2 kernel.
Alle gebruikers van de 5.1-kernel serie moet upgraden. Goed, soort van, laat me herformuleren dat…
Alle gebruikers van Intel-processors sinds 2011 moet upgraden.
Kroath-Hartmann concludeerde: “Zoals ik al eerder zei iets meer dan een jaar geleden, Intel nogmaals dankt een heleboel mensen een heleboel drankjes voor de vaststelling van hun hardware bugs in our software.”
Red Hat vermeld alle Linux distributies van Red Hat Enterprise Linux (RHEL) 5 op de nieuwe RHEL 8 worden beïnvloed. Platforms op basis van deze Linux-distributies zoals Red Hat Virtualisatie en Red Hat OpenStack, zijn ook kwetsbaar.
Dit is niet een Red Hat probleem. Alles — en ik bedoel alle — Linux-distributies zijn kwetsbaar. Dat komt omdat het probleem is echt met Intel ‘ s onderliggende processors en niet-besturingssystemen.
Als Chris Robinson, Red Hat ‘ s de beveiliging van het product assurance manager, verklaard:
“Deze kwetsbaarheden vertegenwoordigen een toegangsbeperking bypass fout die van invloed zijn op vele Intel CPU’ s en veel van de operationele systemen die het mogelijk maken dat de hardware. Samen met de andere leiders in de industrie, Red Hat heeft ontwikkeld kernel security updates voor producten in onze portfolio om deze kwetsbaarheden. Wij werken met onze klanten en partners om deze updates beschikbaar zijn, naast de informatie die onze klanten nodig hebben om snel bij het beschermen van hun fysieke systemen, virtuele beelden, en container-gebaseerde implementaties.”
Dit betekent ook dat Linux-gebaseerde containers en vm ‘ s staan ook open voor een aanval. Om jezelf te beschermen, moet u de patch de volgende Linux-bestanden: de Kernel, kernel-rt libvirt, qemu-kvm qemu-kvm-rhev, en microcode_clt op al uw systemen. In het bijzonder, er is een bekende aanval voor CE-2018-12130, waardoor een kwaadwillende VM of container spy andere containers of vm ‘ s. In andere woorden, je moet patch al uw lopende containers en vm ‘ s op een server-of een rotte appel kan onthullen de gegevens in de patches die.
Terwijl de patches zijn er klaar voor, ze zullen de prestaties van het systeem verminderen. In het bijzonder, Red Hat aanbevolen klanten beoordelen hun risicoprofiel te begrijpen als aanvallen van deze aard zijn ze verplicht om de extra stap van het uitschakelen van de hyper-threading-technologie. Dat gezegd hebbende, vanwege de dreiging van kwetsbaarheid chaining (het vermogen om gebruik te maken van één van de kwetsbaarheid door gebruik te maken van een ander), Red Hat ten zeerste aanbevolen dat gebruikers het bijwerken van alle systemen, zelfs als ze niet geloven dat hun configuratie vormt een directe bedreiging.
Canonical, het bedrijf achter Ubuntu Linux, neemt het verder. Canonieke aanbevolen uitschakelen van hyper-yhreads als het systeem wordt gebruikt voor het uitvoeren van niet-vertrouwde of potentieel schadelijke code. Enkele voorbeelden van toepassingen die de warrant de noodzaak voor het uitschakelen van hyper-threads zijn:
Een multi-user systeem met een mogelijk kwaadwillende gebruiker. Een kwaadwillende gebruiker kan benutten MDS-extract geheimen van andere gebruikers op het systeem.Een systeem dat loopt van programma ‘ s die afkomstig zijn van twijfelachtige bronnen. Dit kan optreden als een gebruiker op het systeem maakt regelmatig gebruik van nieuwe versies van programma ‘ s die worden gepubliceerd door een individu of groep die ze niet volledig vertrouwt. Een van schadelijke software-uitgever kunnen benutten MDS-extract geheimen uit het systeem.Een systeem dat hosts, virtuele machines van verschillende security domeinen en/of het systeem die de eigenaar van niet volledig vertrouwt. Een kwaadaardige programma in een virtuele machine kunnen halen geheimen van andere virtuele machines of van de virtualisatie host zelf.
Tussen de regels leest, behalve voor mensen die stand-alone Linux desktops, Canonieke aanbevolen dat u de patches en uitschakelen hyper-threading.
Moet lezen
Intel Cpu ‘s beïnvloed door nieuwe Zombieload side-channel attackNew hardware-agnostisch side-channel attack werkt op Windows en LinuxIntel Cpu’ s beïnvloed door nieuwe PortSmash side-channel kwetsbaarheid
De meeste Linux-distributies al zijn de patches klaar om te gaan. Maar ze zijn mogelijk niet beschikbaar via de gebruikelijke security patch kanalen. Canonical, bijvoorbeeld, verklaarde: “Vanwege de complexiteit van de veranderingen die betrokken zijn bij het tegengaan van deze hardware kwetsbaarheid, een live patch niet beschikbaar via de Canonieke Livepatch Service.”
Red Hat ‘ s VP van besturingssystemen, Denise Dumas, zei: “Omdat deze beveiligingsupdates kunnen van invloed zijn op de prestaties van het systeem, Red Hat heeft onder meer de mogelijkheid om in deze correcties selectief om tot een beter beheer van de impact op de performance-gevoelige workloads.”
Als je eenmaal de kernel en Intel microcode patches, als u wilt dat de extra voorzorg uitgeschakeld hyper-threading, kunt u dit doen. U kunt dit doen door het instellen van de Linux kernel boot optie:
oplossingen=auto,nosmt
Voor meer informatie over het werken met de kernel, zie De Linux kernel van de gebruiker en administrator ‘ s guide.
De enige echte lange-termijn oplossing
De Linux-kernel, de Kern Plannen, een nieuwe planning-programma, kan helpen verminderen Zombieload. Maar zelfs Peter Zijlstra, de Linux kernel developer toezicht, is niet gelukkig met het. Hij introduceerde het zo zeggen: hij haatte hem met een passie, en het maakt niet uit wat je gedaan hebt met het programma: “het is duur en smerig.”
De enige echte lange-termijn oplossing — voor Linux en alle andere besturingssystemen — is als Intel introduceert vandaag een nieuwe generatie processors. Zoals het is, de huidige generatie van Intel Cpu ‘ s, met hun oudere speculatieve uitvoering procesmatige aanpak, verbetert de verwerking van gegevens snelheden en prestaties, maar op de prijs van de ingebouwde beveiligings-kwetsbaarheden.
Linux
De Linux-desktop is in de problemen
Linus Torvalds: Mensen nemen me veel te serieus, ik kan niet zeggen dat domme gezeik meer
Windows, Mac, of Linux? Vergelijken We de voors en tegens van deze platforms
Pengwin: Een Linux-specifiek voor Windows-Subsysteem voor Linux
Facebook, Twitter, Instagram zijn ‘garbage’, zegt Linux-oprichter (CNET)
Waarom Linux onderscheidt zich onder andere Os ‘ en (TechRepublic)
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters