Nya “Spectre-klass’ brister i Intel-Processorer som kan avslöjas snart
Rapporter framväxande om åtta nya “Spectre-klass” säkerhet CPU sårbarheter. Läs mer: https://zd.net/2wjWREu
Zombieload låter som en dålig skräckfilm vuxen film, men det är faktiskt den senaste klassen av Intel-processorer säkerhetsproblem. Upptäcktes av forskare, angripare kan använda Zombieload för att stjäla data som används inne i en CPU.
Åh, pojke.
Forskarna har visat en Zombieload exploatering som kan se över din virtuell axel för att se de webbplatser som du besöker i real-tid. Deras exempel visade någon spionerar på någon annan använda privatliv-skydd Tor Browser som kör i en virtuell maskin (VM).
Zombieload mer formella namn är “Microarchitectural Data Provtagning (MDS).” Det är det vanliga namnet kommer från begreppet en “zombie last.” Detta är en mängd data som en processor som inte kan hantera på egen hand. Chip sedan ber om hjälp från sina mikrokod för att förhindra en krasch. Normalt, program, virtuella maskiner (VMs) och behållare bara kan se sina egna uppgifter. Men Zombieload sårbarheter utnyttjas av en angripare för att spionera på data över den normala gränser på alla moderna Intel-processorer.
Till skillnad från den tidigare Härdsmälta och Spectre problem, Intel fick tid att förbereda sig för detta problem. Intel har släppt mikrokod fläckar. Dessa bidrar till att rensa processor buffertar, vilket hindrar data från att läsa.
För att försvara dig själv, din processor måste uppdateras, ditt operativsystem måste lagas, och för de flesta skydd, Hyper-Threading funktionshindrade. När Härdsmälta och Spöket dök upp, Linux-utvecklare var kvar i mörkret och kodade för att lappa Linux. Den här gången har de varit kvar i slingan.
Zombieload, exploit, har tre unika attack vägar som kan tillåta en angripare att exekvera en sida-kanal attack för att kringgå kopieringsskydd för att läsa minne. De fyra Gemensamma Sårbarhet och Exponeringar (CVEs) för denna fråga är:
CVE-2018-12126 är ett fel som kunde leda till en informationsläcka från processorn butiken buffert.CVE-2018-12127 är en exploatering av processorns belastning i verksamheten som kan ge data för att en angripare om CPU-register och verksamheten i CPU-pipeline.
CVE-2018-12130 är den allvarligaste av de tre frågor, som är involverade i genomförandet av mikroprocessorn fylla buffertar, och kan exponera data inom denna buffert.
CVE-2019-11091 är en brist i genomförandet av “fylla bufferten,” en mekanism som används av moderna Processorer när en cache-missar är gjord på L1 CPU-cache.
Så, hur illa är det?
Red Hat, som leder vägen i hanteringen av Linux säkerhetsfrågor betygsatt 12130 som en svårighetsgrad effekt av “viktigt”, medan den andra har måttlig svårighetsgrad.
Greg Kroah-Hartman, den stabila Linux-kärnan underhållare, rakt på sak skrev:
Jag meddelar lanseringen av 5.1.2 kärnan.
Alla användare av 5.1-serien av kärnan måste uppgradera. Jo, typ av, låt mig omformulera det…
Alla användare med Intel-processorer som gjorts sedan 2011 måste uppgradera.
Kroath-Hartmann slutsatsen: “Som jag sa innan för drygt ett år sedan, Intel återigen tacka för en massa människor en massa drinkar för att fastställa deras hårdvara buggar i vår programvara.”
Red Hat noterat alla dess Linux från Red Hat Enterprise Linux (RHEL) 5 på den nya RHEL 8 påverkas. Plattformar som bygger på dessa Linux-distributioner, exempelvis Red Hat Virtualisering och Red Hat Internationaliserad, är också sårbara.
Detta är inte en Red Hat problem. Alla-och jag menar alla-Linux-distributioner är utsatta för det. Det beror på att problemet verkligen är med Intels underliggande processorer och inte operativsystem.
Som Chris Robinson, Red Hat: s product security assurance manager, förklarade:
“Dessa sårbarheter utgör en tillgång begränsning kringgå fel som påverkar många Intel-PROCESSOR och många av de operativsystem som gör att hårdvaran. Att arbeta med andra ledare inom industrin, Red Hat har utvecklat kärnan säkerhetsuppdateringar för produkter i vår portfölj att ta itu med dessa sårbarheter. Vi arbetar med våra kunder och partners för att göra dessa uppdateringar finns tillgängliga, tillsammans med den information som våra kunder behöver för att snabbt skydda sina fysiska system, virtuella bilder och container-baserade distributioner.”
Detta innebär också Linux-baserade behållare och VMs är också öppen för attack. För att skydda dig själv, du behöver för att lappa följande Linux-filer: Kärna, kernel-rt, check, qemu-kvm, qemu-kvm-rhev, och microcode_clt på alla dina system. I synnerhet, det är ett känt angreppspunkten för CE-2018-12130, som gör det möjligt för en illvillig VM eller behållare spy annan behållare eller VMs. Med andra ord, du måste patch alla dina kör containrar och VMs på en server, eller en dålig apple kan avslöja uppgifter i lappade och kära.
Medan fläckar är redo, kommer de att försämra systemets prestanda. I synnerhet, Red Hat rekommenderar kunder att utvärdera sin riskprofil för att förstå om attacker av detta slag kräver dem att ta ytterligare steg för att inaktivera hyper-threading. Som sagt, på grund av hot och sårbarhet chaining (förmåga att utnyttja en sårbarhet genom att utnyttja en annan först), Red Hat rekommenderar att användare uppdaterar alla system, även om de inte tror att deras konfiguration utgör ett direkt hot.
Canonical, företaget bakom Ubuntu Linux, tar det längre. Canonical rekommenderas att inaktivera hyper-yhreads om systemet används för att utföra opålitliga eller potentiellt skadlig kod. Några exempel på arbetsuppgifter som motiverar behovet att inaktivera hyper-trådar:
Ett fleranvändarsystem med en potentiellt skadliga för användaren. En angripare skulle kunna utnyttja MDS för att extrahera hemligheter från andra användare på systemet.Ett system som kör program som kommer från tvivelaktiga källor. Detta kan inträffa om en användare på systemet regelbundet använder sig av nya versioner av program som är publicerad av en individ eller grupp att de inte litar helt på. En skadlig programvara utgivare kan utnyttja MDS för att extrahera hemligheter från systemet.Ett system som är värd för virtuella maskiner från olika säkerhetsdomäner och/eller att systemet ägaren inte helt lita på. Ett skadligt program i en virtuell maskin kan extrahera hemligheter från andra virtuella maskiner eller från den virtuella värden själv.
Att läsa mellan raderna, med undantag för människor som kör stand-alone-Linux-datorer, Canonical rekommenderas du att göra patchar och avaktivera hyperthreading.
Måste läsa
Intel Cpuer påverkas av nya Zombieload sida-kanal attackNew hårdvara-agnostiker sida-kanal attack fungerar mot Windows och LinuxIntel Processorer påverkas av nya PortSmash sida-kanal sårbarhet
De flesta Linux-distributioner har redan patchar redo att gå. Men det kanske inte är tillgängliga via vanliga security patch-kanaler. Canonical, till exempel, säger: “på Grund av komplexiteten av de förändringar som deltar i att mildra denna hårdvara sårbarhet, en live-patch kommer inte att vara tillgängliga via Canonical Livepatch Service.”
Red Hat: s VP av operativsystem plattformar, Denise Dumas, sade: “Eftersom dessa uppdateringar kan påverka datorns prestanda, Red Hat har tagit upp möjligheten att göra dessa korrigeringar selektivt i syfte att bättre hantera påverkan på prestanda-känsliga arbetsbelastning.”
När du har gjort kärnan och Intel mikrokod fläckar, om du vill vidta extra försiktighetsåtgärder för att stänga av hyper-threading, du kan göra så. Du gör detta genom att ställa Linux-kärnans uppstartsparametrar alternativ:
mitigations=auto,nosmt
För mer information om att arbeta med kärnan, se Linux-kärnan användarens och administrator ‘ s guide.
Den enda verkliga långsiktig fix
Linux-kärnan Kärnan Schemaläggning, en ny schemaläggning program, kan hjälpa till att lindra Zombieload. Men även Peter Zijlstra, Linux-kernel utvecklare att övervaka det, är inte nöjd med det. Han introducerade det som säger att han hatade det med en passion, och oavsett vad du gjorde med programmet, “det är dyrt och otäck.”
Den enda verkliga långsiktiga fixa-för Linux och alla andra operativsystem — är när Intel lanserar en ny generation av processorer. Eftersom det är den nuvarande generationen av Intel-Processorer, med sina äldre spekulativ exekvering process approach, förbättrar behandling av data hastigheter och prestanda, men till priset av inbyggda säkerhetsproblem.
Linux
Linux-datorn är i trubbel
Linus Torvalds: Folk tar mig på för stort allvar, jag kan inte säga dumma skit längre
Windows -, Mac-eller Linux? Vi jämför fördelar och nackdelar med dessa plattformar
Pengwin: En Linux specifikt för Windows Delsystem för Linux
Facebook, Twitter, Instagram är “skräp”, säger Linux grundare (CNET)
Varför Linux sticker ut bland andra Operativsystem (TechRepublic)
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter