GNU/Linux >> Belajar Linux >  >> Linux

Bagaimana cara mengurangi kerentanan Spectre dan Meltdown pada sistem Linux?

Alan Cox membagikan tautan dari blog AMD:https://www.amd.com/en/corporate/speculative-execution

Varian Satu:Bypass Pemeriksaan Batas

Diselesaikan oleh pembaruan perangkat lunak / OS yang akan disediakan oleh vendor dan produsen sistem. Diperkirakan ada dampak performa yang dapat diabaikan.

Varian Dua:Injeksi Target Cabang

Perbedaan dalam arsitektur AMD berarti hampir tidak ada risiko eksploitasi varian ini. Kerentanan terhadap Varian 2 belum ditunjukkan pada prosesor AMD hingga saat ini.

Varian Tiga:Memuat Cache Data Palsu

Kerentanan nol AMD karena perbedaan arsitektur AMD.

Akan lebih baik untuk mendapatkan konfirmasi atas pernyataan AMD ini oleh pihak ketiga.

'Mitigasi' pada sistem yang terpengaruh, akan memerlukan kernel baru dan reboot, tetapi pada banyak distribusi belum ada paket yang dirilis dengan perbaikan:

  • https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/

Debian:

  • https://security-tracker.debian.org/tracker/CVE-2017-5715
  • https://security-tracker.debian.org/tracker/CVE-2017-5753
  • https://security-tracker.debian.org/tracker/CVE-2017-5754

Sumber informasi lain yang saya temukan:

  • https://lists.bufferbloat.net/pipermail/cerowrt-devel/2018-January/011108.html
  • https://www.reddit.com/r/Amd/comments/7o2i91/technical_analysis_of_spectre_meltdown/

27 Januari 2018 Intel Microcode merusak beberapa sistem

Pembaruan Intel Microcode 2018-01-08 untuk mengatasi lubang keamanan percabangan eksekusi spekulatif merusak beberapa sistem. Ini memengaruhi banyak sistem Ubuntu dari 8 Januari hingga 21 Januari. Pada 22 Januari 2018, Ubuntu merilis pembaruan yang mengembalikan Microcode lama dari 07-07-2017.

Jika Anda mengalami masalah dengan pembaruan, menginstal ulang Ubuntu dan mematikan pembaruan antara 08-01-2018 dan 22-01-2018, Anda mungkin ingin mencoba pembaruan otomatis Ubuntu lagi.

16 Januari 2018 memperbarui Spectre di 4.14.14 dan 4.9.77

Jika Anda sudah menjalankan Kernel versi 4.14.13 atau 4.9.76 seperti saya, tidak ada salahnya menginstal 4.14.14 dan 4.9.77 ketika mereka keluar dalam beberapa hari untuk mengurangi lubang keamanan Spectre. Nama perbaikan ini adalah Retpoline dan tidak memiliki performa parah seperti yang diperkirakan sebelumnya:

Greg Kroah-Hartman telah mengirimkan tambalan terbaru untuk rilis poin Linux 4.9 dan 4.14, yang sekarang menyertakan dukungan Retpoline.

X86_FEATURE_RETPOLINE ini diaktifkan untuk semua CPU AMD/Intel. Untuk dukungan penuh, Anda juga perlu membuat kernel dengan kompiler GCC yang lebih baru yang berisi dukungan -mindirect-branch=thunk-extern. Perubahan GCC mendarat di GCC 8.0 kemarin dan sedang dalam proses porting-balik ke GCC 7.3.

Mereka yang ingin menonaktifkan dukungan Retpoline dapat mem-boot kernel yang ditambal dengan noretpoline .

Tanpa membahas detail JavaScript, berikut adalah cara segera menghindari lubang Meltdown (dan mulai 10 Januari 2018, perlindungan Spectre)

Pembaruan 12 Januari 2018

Perlindungan awal dari Spectre ada di sini dan akan ditingkatkan dalam beberapa minggu dan bulan mendatang.

Linux Kernel 4.14.13, 4.9.76 LTS, dan 4.4.111 LTS

Dari artikel Softpedia ini:

Kernel Linux 4.14.13, 4.9.76 LTS, dan 4.4.111 LTS sekarang tersedia untuk diunduh dari kernel.org, dan mereka menyertakan lebih banyak perbaikan terhadap kerentanan keamanan Spectre, serta beberapa regresi dari Linux 4.14.12, 4.9.75 LTS , dan kernel 4.4.110 LTS dirilis minggu lalu, karena beberapa melaporkan masalah kecil.

Masalah ini tampaknya sudah diperbaiki sekarang, jadi aman untuk memperbarui sistem operasi berbasis Linux Anda ke versi kernel baru yang dirilis hari ini, yang mencakup lebih banyak pembaruan x86, beberapa perbaikan PA-RISC, s390, dan PowerPC(PPC), berbagai peningkatan pada driver ( Intel i915, crypto,IOMMU, MTD), dan mm biasa serta perubahan kernel inti.

Banyak pengguna mengalami masalah dengan pembaruan LTS Ubuntu pada 4 Januari 2018 dan 10 Januari 2018. Saya telah menggunakan 4.14.13 selama beberapa hari tanpa masalah namun YMMV .

Pembaruan 7 Januari 2018

Greg Kroah-Hartman menulis pembaruan status pada lubang keamanan Meltdown dan Spectre Linux Kernel kemarin. Beberapa mungkin memanggilnya orang paling kuat kedua di dunia Linux tepat di sebelah Linus. Artikel ini membahas tentang kernel stabil (dibahas di bawah) dan kernel LTS yang dimiliki sebagian besar pengguna Ubuntu.

Linux Kernel 4.14.11, 4.9.74, 4.4.109, 3.16.52, dan 3.2.97 Patch Meltdown Flaw

Dari artikel ini:

Pengguna dihimbau untuk segera memperbarui sistem mereka

4 Jan 2018 01:42 GMT · Oleh Marius Nestor

Pemelihara kernel Linux Greg Kroah-Hartman dan Ben Hutchings telah merilis versi baru dari seri kernel Linux 4.14, 4.9, 4.4, 3.16, 3.18, dan 3.12 LTS (Dukungan Jangka Panjang) yang tampaknya menambal salah satu dari dua kelemahan keamanan kritis yang mempengaruhi sebagian besar prosesor.

Kernel Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91, dan 3.2.97 sekarang tersedia untuk diunduh dari situs web kernel.org, dan pengguna disarankan untuk memperbarui distribusi GNU/Linux mereka ke versi baru ini jika mereka segera menjalankan salah satu dari seri kernel tersebut. Mengapa memperbarui? Karena mereka tampaknya menambal kerentanan kritis yang disebut Meltdown.

Seperti diberitakan sebelumnya, Meltdown dan Spectre adalah dua eksploitasi yang memengaruhi hampir semua perangkat yang ditenagai oleh prosesor modern (CPU) yang dirilis dalam 25 tahun terakhir. Ya, itu berarti hampir semua ponsel dan komputer pribadi. Meltdown dapat dieksploitasi oleh penyerang yang tidak memiliki hak istimewa untuk mendapatkan informasi sensitif yang tersimpan dalam memori kernel.

Patch untuk kerentanan Spectre masih dalam pengerjaan

Sementara Meltdown adalah kerentanan serius yang dapat mengekspos data rahasia Anda, termasuk kata sandi dan kunci enkripsi, Spectre bahkan lebih buruk, dan tidak mudah untuk diperbaiki. Peneliti keamanan mengatakan itu akan menghantui kita untuk beberapa waktu. Spectre diketahui mengeksploitasi teknik eksekusi spekulatif yang digunakan oleh CPU modern untuk mengoptimalkan performa.

Sampai bug Spectre juga ditambal, sangat disarankan agar Anda setidaknya memperbarui distribusi GNU/Linux Anda ke salah satu versi kernel Linux yang baru dirilis. Jadi cari repositori perangkat lunak dari distro favorit Anda untuk pembaruan kernel baru dan instal sesegera mungkin. Jangan tunggu sampai terlambat, lakukan sekarang!

Saya telah menggunakan Kernel 4.14.10 selama seminggu sehingga mengunduh dan mem-boot Ubuntu Mainline Kernel versi 4.14.11 tidak terlalu menjadi perhatian saya.

Pengguna Ubuntu 16.04 mungkin lebih nyaman dengan versi kernel 4.4.109 atau 4.9.74 yang dirilis bersamaan dengan 4.14.11.

Jika pembaruan rutin Anda tidak menginstal versi Kernel yang Anda inginkan, Anda dapat melakukannya secara manual dengan mengikuti jawaban Tanya Ubuntu ini:https://askubuntu.com/questions/879888/how-do-i-update-kernel-to-the-latest -mainline-version/879920#879920

4.14.12 - Apa bedanya hari ini

Kurang dari 24 jam setelah jawaban awal saya, sebuah tambalan dirilis untuk memperbaiki versi kernel 4.14.11 yang mungkin telah mereka buru-buru keluar. Upgrade ke 4.14.12 disarankan untuk semua pengguna 4.14.11. Greg-KH berkata:

Saya mengumumkan perilisan kernel 4.14.12.

Semua pengguna seri kernel 4.14 harus memutakhirkan.

Ada beberapa masalah kecil yang masih diketahui dengan rilis ini yang dialami orang. Mudah-mudahan mereka akan diselesaikan akhir pekan ini, karena tambalan belum mendarat di pohon Linus.

Untuk saat ini, seperti biasa, harap uji lingkungan Anda.

Melihat pembaruan ini, tidak banyak baris kode sumber yang diubah.


Cacat ini dapat dieksploitasi dari jarak jauh dengan mengunjungi situs web JavaScript.

Memang. Jadi, satu mitigasi yang masuk akal adalah menonaktifkan JavaScript di browser web Anda, atau menggunakan browser web yang tidak mendukung JavaScript.

Sebagian besar browser yang mendukung JavaScript memiliki pengaturan untuk menonaktifkannya. Alternatifnya, jika Anda ingin mempertahankan daftar putih situs atau domain yang mengizinkan JavaScript, maka ada berbagai add-on yang dapat membantu, seperti uBlock Origin dan NoScript.

N.B. Tidak perlu dikatakan lagi bahwa menonaktifkan/membatasi JavaScript tidak boleh menjadi satu-satunya Anda mitigasi. Anda juga harus meninjau (dan mungkin menerapkan) setiap perbaikan kernel yang relevan dan pembaruan keamanan lainnya setelah ditulis, diuji, dan dipublikasikan. Pada distribusi turunan Debian, gunakan perintah seperti sudo apt update , sudo apt list-upgradable , dan sudo apt upgrade .

Perbarui: jangan mengambil kata-kata saya untuk itu. Alan Cox mengatakan hal yang sama:

Apa yang perlu Anda pedulikan tentang waktu besar adalah javascript karena eksploit dapat digunakan dari jarak jauh oleh javascript di halaman web untuk mencuri barang dari memori sistem Anda. ... pertimbangkan hal-hal seperti Adblocker dan ekstensi seperti noscript yang dapat menghentikan banyak sampah berjalan sejak awal. Lakukan itu secepatnya. Saat pembaruan OS muncul, terapkan. (Sumber )


Linux

  1. Bagaimana Linux menyelamatkan komputer yang lambat (dan planet ini)

  2. Cara Membuat Alias ​​​​dan Menggunakan Perintah Alias ​​​​di Linux

  3. Cara memeriksa Versi OS dan Linux

  1. Cara Menginstal dan Menggunakan Perintah Ping di Linux

  2. Cara Menginstal dan Menggunakan Glance untuk Memantau Sistem Linux

  3. Bagaimana saya bisa melihat ukuran file dan direktori di linux?

  1. Cara Memasang dan Melepas Sistem File di Linux

  2. Cara mengidentifikasi kartu/port HBA dan WWN di Linux

  3. Bagaimana cara memindahkan file dan direktori ke folder induk di Linux?