Alan Cox ha condiviso un link dal blog di AMD:https://www.amd.com/en/corporate/speculative-execution
Variante uno:bypass del controllo dei limitiVariante due:Branch Target InjectionRisolto da aggiornamenti software / OS che devono essere resi disponibili da fornitori di sistemi e produttori. Previsto un impatto sulle prestazioni trascurabile.
Variante tre:caricamento della cache di dati non autorizzatiLe differenze nell'architettura AMD significano che c'è un rischio quasi nullo di sfruttamento di questa variante. La vulnerabilità alla Variante 2 non è stata finora dimostrata sui processori AMD.
Zero vulnerabilità AMD a causa delle differenze di architettura AMD.
Sarebbe comunque utile avere conferma di queste affermazioni di AMD da parte di terzi.
La 'mitigazione' sui sistemi interessati, richiederebbe un nuovo kernel e un riavvio, ma su molte distribuzioni non sono ancora stati rilasciati pacchetti con le correzioni:
- https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/
Debian:
- https://security-tracker.debian.org/tracker/CVE-2017-5715
- https://security-tracker.debian.org/tracker/CVE-2017-5753
- https://security-tracker.debian.org/tracker/CVE-2017-5754
Altre fonti di informazioni che ho trovato:
- https://lists.bufferbloat.net/pipermail/cerowrt-devel/2018-January/011108.html
- https://www.reddit.com/r/Amd/comments/7o2i91/technical_analysis_of_spectre_meltdown/
27 gennaio 2018 Intel Microcode rompe alcuni sistemi
L'aggiornamento del microcodice Intel 2018-01-08 per risolvere le falle di sicurezza della ramificazione dell'esecuzione speculativa ha danneggiato alcuni sistemi. Ciò ha interessato molti sistemi Ubuntu dall'8 gennaio al 21 gennaio. Il 22 gennaio 2018 Ubuntu ha rilasciato un aggiornamento che ripristina il vecchio Microcode del 07-07-2017.
Se hai riscontrato problemi con gli aggiornamenti, hai reinstallato Ubuntu e disattivato gli aggiornamenti tra il 2018-01-08 e il 2018-01-22, potresti provare di nuovo gli aggiornamenti automatici di Ubuntu.
Aggiornamento Spectre del 16 gennaio 2018 in 4.14.14 e 4.9.77
Se stai già utilizzando le versioni del kernel 4.14.13 o 4.9.76 come me, è un gioco da ragazzi installare 4.14.14
e 4.9.77
quando usciranno tra un paio di giorni per mitigare il buco di sicurezza di Spectre. Il nome di questa correzione è Retpoline e non ha il grave calo delle prestazioni ipotizzato in precedenza:
Greg Kroah-Hartman ha inviato le ultime patch per le point release di Linux 4.9 e 4.14, che ora includono il supporto Retpoline.
Questo X86_FEATURE_RETPOLINE è abilitato per tutte le CPU AMD/Intel. Per il supporto completo devi anche compilare il kernel con un compilatore GCC più recente contenente il supporto -mindirect-branch=thunk-extern. Le modifiche GCC sono arrivate ieri in GCC 8.0 e sono in procinto di essere potenzialmente trasferite in GCC 7.3.
Coloro che desiderano disabilitare il supporto Retpoline possono avviare i kernel con patch con noretpoline .
Senza entrare nei dettagli di JavaScript, ecco come evitare immediatamente il buco di Meltdown (e dal 10 gennaio 2018, la protezione Spectre)
Aggiornamento del 12 gennaio 2018
Protezione iniziale da Spettro è qui e verrà migliorato nelle settimane e nei mesi a venire.
Kernel Linux 4.14.13, 4.9.76 LTS e 4.4.111 LTS
Da questo articolo di Softpedia:
I kernel Linux 4.14.13, 4.9.76 LTS e 4.4.111 LTS sono ora disponibili per il download da kernel.org e includono più correzioni contro la vulnerabilità di sicurezza di Spectre, nonché alcune regressioni da Linux 4.14.12, 4.9.75 LTS , e 4.4.110 LTS kernel rilasciati la scorsa settimana, poiché alcuni hanno segnalato problemi minori.
Questi problemi sembrano essere stati risolti ora, quindi è sicuro aggiornare i sistemi operativi basati su Linux alle nuove versioni del kernel rilasciate oggi, che includono più aggiornamenti x86, alcune correzioni PA-RISC, s390 e PowerPC (PPC), vari miglioramenti ai driver ( Intel i915, crypto, IOMMU, MTD) e le solite modifiche al kernel mm e core.
Molti utenti hanno avuto problemi con gli aggiornamenti di Ubuntu LTS il 4 gennaio 2018 e il 10 gennaio 2018. Sto usando 4.14.13
per un paio di giorni senza problemi comunque YMMV .
Aggiornamento del 7 gennaio 2018
Greg Kroah-Hartman ieri ha scritto un aggiornamento sullo stato delle falle di sicurezza di Meltdown e Spectre Linux Kernel. Alcuni potrebbero definirlo il secondo uomo più potente nel mondo Linux proprio accanto a Linus. L'articolo affronta i kernel stabili (discussi di seguito) e i kernel LTS che possiede la maggior parte degli utenti di Ubuntu.
Kernel Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52 e 3.2.97 Patch Meltdown Flaw
Da questo articolo:
Gli utenti sono invitati ad aggiornare immediatamente i propri sistemi
4 gennaio 2018 01:42 GMT · Di Marius Nestor
I manutentori del kernel Linux Greg Kroah-Hartman e Ben Hutchings hanno rilasciato nuove versioni della serie di kernel Linux 4.14, 4.9, 4.4, 3.16, 3.18 e 3.12 LTS (Long Term Support) che apparentemente correggono uno dei due difetti di sicurezza critici che affliggono i più moderni processori.
I kernel Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 e 3.2.97 sono ora disponibili per il download dal sito Web kernel.org e gli utenti sono invitati ad aggiornare le proprie distribuzioni GNU/Linux a queste nuove versioni se eseguono immediatamente una di quelle serie di kernel. Perché aggiornare? Perché apparentemente correggono una vulnerabilità critica chiamata Meltdown.
Come riportato in precedenza, Meltdown e Spectre sono due exploit che colpiscono quasi tutti i dispositivi alimentati dai moderni processori (CPU) rilasciati negli ultimi 25 anni. Sì, questo significa quasi tutti i telefoni cellulari e i personal computer. Meltdown può essere sfruttato da un utente malintenzionato senza privilegi per ottenere intenzionalmente informazioni sensibili archiviate nella memoria del kernel.
Patch per vulnerabilità Spectre ancora in lavorazione
Mentre Meltdown è una grave vulnerabilità che può esporre i tuoi dati segreti, incluse password e chiavi di crittografia, Spectre è anche peggio e non è facile da risolvere. I ricercatori di sicurezza affermano che ci perseguiterà per un bel po' di tempo. È noto che Spectre sfrutta la tecnica di esecuzione speculativa utilizzata dalle moderne CPU per ottimizzare le prestazioni.
Fino a quando anche il bug di Spectre non sarà risolto, si consiglia vivamente di aggiornare almeno le proprie distribuzioni GNU/Linux a una qualsiasi delle versioni del kernel Linux appena rilasciate. Quindi cerca nei repository software della tua distribuzione preferita il nuovo aggiornamento del kernel e installalo il prima possibile. Non aspettare che sia troppo tardi, fallo ora!
Ho usato il kernel 4.14.10 per una settimana, quindi scaricare e avviare Ubuntu Mainline Kernel versione 4.14.11 non era un problema per me.
Gli utenti di Ubuntu 16.04 potrebbero sentirsi più a loro agio con le versioni del kernel 4.4.109 o 4.9.74 che sono state rilasciate contemporaneamente alla 4.14.11.
Se i tuoi aggiornamenti regolari non installano la versione del kernel che desideri, puoi farlo manualmente seguendo questa risposta Ask Ubuntu:https://askubuntu.com/questions/879888/how-do-i-update-kernel-to-the-latest -mainline-version/879920#879920
4.14.12 - Che differenza fa un giorno
Meno di 24 ore dopo la mia risposta iniziale è stata rilasciata una patch per correggere la versione del kernel 4.14.11 che potrebbero essere usciti di corsa. L'aggiornamento a 4.14.12 è consigliato a tutti gli utenti 4.14.11. Greg-KH dice:
Annuncio il rilascio del kernel 4.14.12.
Tutti gli utenti della serie del kernel 4.14 devono eseguire l'aggiornamento.
Ci sono alcuni problemi minori ancora noti con questa versione in cui le persone si sono imbattute. Si spera che vengano risolti questo fine settimana, dato che le patch non sono arrivate nell'albero di Linus.
Per ora, come sempre, prova il tuo ambiente in.
Guardando questo aggiornamento non sono state modificate molte righe di codice sorgente.
Questo difetto può essere sfruttato da remoto visitando un sito Web JavaScript.
Infatti. Pertanto, una mitigazione sensata è disabilitare JavaScript nei browser Web o utilizzare browser Web che non supportano JavaScript.
La maggior parte dei browser che supportano JavaScript hanno un'impostazione per disabilitarlo. In alternativa, se desideri mantenere una lista bianca di siti o domini per i quali consentire JavaScript, ci sono vari componenti aggiuntivi che possono aiutarti, come uBlock Origin e NoScript.
N.B. Va da sé che disabilitare/limitare JavaScript non dovrebbe essere solo mitigazione. Dovresti inoltre rivedere (e probabilmente applicare) eventuali correzioni del kernel rilevanti e altri aggiornamenti di sicurezza una volta che sono stati scritti, testati e pubblicati. Nelle distribuzioni derivate da Debian, usa comandi come sudo apt update
, sudo apt list-upgradable
e sudo apt upgrade
.
Aggiornamento: non credermi sulla parola. Alan Cox dice più o meno la stessa cosa:
Di cosa ti devi preoccupare per il grande momento è javascript perché l'exploit può essere utilizzato in remoto da javascript sulle pagine Web per rubare materiale dalla memoria del sistema. ... considera cose come Adblocker ed estensioni come noscript che possono fermare un sacco di spazzatura in esecuzione in primo luogo. Fallo al più presto. Quando vengono visualizzati gli aggiornamenti del sistema operativo, applicali. (Fonte )