Debian julkaisi tietoturvapäivitykset Spectre V4: ää ja V3a: ta vastaan

Debian Spectre

Como Spectreihin liittyvät turvallisuuskysymykset tulivat tunnetuksi kauan sitten joka on antanut paljon puhuttavaa näiden kuukausien aikana.

Vaikka monet Specteriin johtavista tietoturvaongelmista on korjattu Linuxissa on kehitetty uusia vikoja ja erityisesti uusia variantteja.

Niille lukijoille, jotka eivät ole tietoisia haavoittuvuudesta, voin kertoa sen Spectre on haavoittuvuus, joka vaikuttaa nykyaikaisiin hyppyennusteita käyttäviin mikroprosessoreihin.

Useimmissa prosessoreissa ennustetusta epäonnistumisesta johtuva spekulatiivinen toteutus voi jättää havaittavia vaikutuksia vakuudet, jotka voivat paljastaa yksityisiä tietoja hyökkääjälle.

Esimerkiksi, jos edellä mainitun spekulatiivisen suorituksen tekemä muistihakemusten malli riippuu yksityisistä tiedoista, tuloksena oleva datan välimuistin tila muodostaa sivukanavan, jonka kautta hyökkääjä voi saada tietoa yksityisistä tiedoista. ajastettu hyökkäys.

Spectre-asiakirja kuvaa yhden helposti korjattavan haavoittuvuuden sijaan koko potentiaalisten haavoittuvuuksien luokan.

Kaikki nämä haavoittuvuudet perustuvat spekulatiivisen teloituksen sivuvaikutusten hyödyntämiseen, tekniikka, jota käytetään yleisesti torjumaan muistiviiveitä ja siten nopeuttamaan suorituskykyä nykyaikaisilla mikroprosessoreilla.

Erityisesti Spectre keskittyy hypyn ennustamiseen, spekulatiivisen toteutuksen erityistapaukseen.

Toisin kuin samana päivänä julkaistu Meltdown-haavoittuvuus, Spectre ei ole riippuvainen tietystä muistinhallintaominaisuudesta prosessori tai miten se suojaa pääsyä muistiin, mutta sillä on yleisempi lähestymistapa.

Debian julkaisi tietoturvakorjauksia

Debian 10

äskettäin Debian-projektista vastaava kehitysryhmä julkaisi laiteohjelmiston Intel-mikrokoodi Päivitetty Debian OS -käyttäjille GNU / Linux 9 "Stretch" lievittää kahta viimeisintä Spectre-haavoittuvuutta useammalla Intel-suorittimella.

Viime kuussa, tarkemmin 16. elokuuta, Moritz Muehlenhoff ilmoitti saatavan päivityksen Intelin mikrokoodiin, joka tukee SSBD: tä (Speculative Store Bypass Disable (SSBD) Spectre Variant 4: n tietoturva-aukkojen ja Spectre-vaihtoehto 3a.

Viime kuussa julkaistu Intel-mikrokoodipäivitys oli kuitenkin käytettävissä vain tietyntyyppisille Intel-prosessoreille.

Tämän takia Debian-projekti on julkaissut päivitetyn Intel-mikrokoodin laiteohjelmiston, joka tukee muita Intel CPU SSBD -malleja järjestelmän uusimman version, joka on Debian 9 Stretch, käyttäjille korjaamaan kaksi uusinta Spectre-haavoittuvuutta, jotka on löydetty useammasta Intel-suorittimesta.

Ilmoitusten postituslistalla Moritz Muehlenhoff sanoi:

«Tämä päivitys sisältää päivitetyn suorittimen mikrokoodin muille Intel cpus -malleille, joita ei vielä ole käsitelty intel-mikrokoodipäivityksessä, julkaistu nimellä dsa-4273-1 (ja tarjoaa siksi tukea ssbd: lle (vaaditaan) ohjaamaan "haava v4" ja kiinnittyy "haava v3a") «.

Vakaa jakelu Debian 9 Stretchille nämä ongelmat on korjattu

versio 3.20180807a.1 ~ deb9u1.

Suosittelemme, että päivität intel-mikrokoodipaketit.

Debian-projekti Kutsu kaikki Debian OS Stretch -sarjan käyttäjät, jotka käyttävät Intel-suorittimia päivittämään mikrokoodin laiteohjelmiston versioon 3.20180807a.1 ~ deb9u1, joka voidaan ladata välittömästi pääarkistoista.

Lisäksi, korjata molemmat Spectre-haavoittuvuudet, käyttäjien on myös asennettava uusin ytimen päivitys.

Tunnetaan laajalti nimellä Spectre variant 3A (CVE-2018-3640) "Rogue System Register Read" ja Spectre variant 4 CVE-2018-3639 "Spekulatiivinen myymälän ohitus". luottamuksellisia haavoittuvista järjestelmistä. Ne ovat vakavia puutteita ja ne on korjattava mahdollisimman nopeasti.

Lopuksi riittää, että järjestelmämme päivitetään täysin sen komponenttien uusimmilla versioilla.


Kommentti, jätä sinun

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   HO2Gi dijo

    Erittäin hyvät uutiset