Ainda vulnerável após atualização do kernel do Ubuntu 3.13.0-141 do SpectreMeltdown?

1

Atualizei meu servidor com o Ubuntu 14.04 para o kernel mais recente:

3.13.0-141-generic

Qual é o segundo lançamento após a divulgação da vulnerabilidade spectreMeltdown, até onde eu sei.

Mas ao executar o verificador de vulnerabilidades de espectros e falhas:

link

Meu sistema ainda parece vulnerável:

Spectre and Meltdown mitigation detection tool v0.32

Checking for vulnerabilities on current system
Kernel is Linux 3.13.0-141-generic #190-Ubuntu SMP Fri Jan 19 12:52:38 UTC 2018 x86_64
CPU is Intel(R) Xeon(R) CPU E5-2630L v2 @ 2.40GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
  * Indirect Branch Restricted Speculation (IBRS)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates IBRS capability:  NO
  * Indirect Branch Prediction Barrier (IBPB)
    * PRED_CMD MSR is available:  NO
    * CPU indicates IBPB capability:  NO
  * Single Thread Indirect Branch Predictors (STIBP)
    * SPEC_CTRL MSR is available:  NO
    * CPU indicates STIBP capability:  NO
  * Enhanced IBRS (IBRS_ALL)
    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO
    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO
  * CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO):  NO
* CPU vulnerability to the three speculative execution attacks variants
  * Vulnerable to Variant 1:  YES
  * Vulnerable to Variant 2:  YES
  * Vulnerable to Variant 3:  YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:  YES
> STATUS:  NOT VULNERABLE  (99 opcodes found, which is >= 70, heuristic to be improved when official patches become available)

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
  * Kernel is compiled with IBRS/IBPB support:  YES
  * Currently enabled features
    * IBRS enabled for Kernel space:  NO  (echo 1 > /proc/sys/kernel/ibrs_enabled)
    * IBRS enabled for User space:  NO  (echo 2 > /proc/sys/kernel/ibrs_enabled)
    * IBPB enabled:  NO  (echo 1 > /proc/sys/kernel/ibpb_enabled)
* Mitigation 2
  * Kernel compiled with retpoline option:  NO
  * Kernel compiled with a retpoline-aware compiler:  NO
  * Retpoline enabled:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES
* PTI enabled and active:  YES
* Running as a Xen PV DomU:  NO
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

A false sense of security is worse than no security at all, see --disclaimer

Posso fazer algo mais para mitigar essas ameaças ou isso é apenas o estado das coisas no momento?

Obrigado antecipadamente!

    
por lowkey 25.01.2018 / 15:28

2 respostas

3

A melhor fonte de informações sobre as mitigações específicas do Ubuntu do Meltdown e do Specter é a página dedicada em sua base de conhecimento de segurança a>. As informações ali correspondem ao que você está vendo:

  • sua CPU não foi atualizada para suportar IBRS / IBPB, portanto, as atenuações da variante 2 do Spectre não estão funcionais;
  • A fusão e a variante 1 do Spectre são atenuadas.

Em relação à sua CPU, havia um pacote de microcódigo atualizado , mas isso causou regressões e foi revertido . Seu fabricante da placa-mãe pode ter uma atualização de firmware disponível para resolver o problema; instalação que permitiria as mitigações da Variante 2 do Specter.

O suporte ao Retpoline ainda não está incluído, mas pode vir mais tarde para abordar a variante Specter 2 também.

Como Rui pontos , essas atualizações não devem acalmá-lo em um falso de segurança , provavelmente existem outras vulnerabilidades similares esperando para serem descobertas (se ainda não tiverem sido!). Em qualquer caso, você deve sempre considerar que os computadores não são confiáveis ...

    
por 25.01.2018 / 15:53
0

Você pode verificar qualquer distro para "fusão" executando     "dmesg | isolamento de grep" Se PTI estiver habilitado, a saída deverá ser:     "Isolamento de tabelas de páginas do Kernel / Usuário: ativado" No Devuan eu tive que ativá-lo da seguinte forma: Verifique se o seu fornecedor corrigiu o seu Kernel com o PTI!     "grep -i" isolation "/ boot / config- *" Se mostra    "CONFIG_PAGE_TABLE_ISOLATION = y" Então você está com sorte! Habilite o PTI no Devuan definindo "pti = on" nos parâmetros de inicialização do kernel: Adicione "pti = on" a "GRUB_CMDLINE_LINUX_DEFAULT" em "/ etc / default / grub" e execute:    "update-grub" Reinicie e verifique novamente! Para mitigar contra todos os erros da CPU da Intel, o microcódigo deve ser atualizado conforme mencionado anteriormente no post. Meu laptop i3 tem 8 anos! Qualquer chance de atualização de firmware: - /

    
por 17.02.2018 / 06:04