Cualquier pregunta relacionada con las actualizaciones de estado o preguntar si se va a reparar algo para estas vulnerabilidades debe cerrarse como duplicados de esta pregunta.
Meltdown y Spectre están en las noticias en este momento y suenan bastante graves. No veo ninguna actualización de seguridad de Ubuntu que cubra estas vulnerabilidades.
¿Qué está haciendo Ubuntu sobre estas vulnerabilidades y qué deberían estar haciendo los usuarios de Ubuntu?
Estos son CVE-2017-5753, CVE-2017-5715 y CVE-2017-5754.
intel-microcode
?Respuestas:
Se descubrió que una nueva clase de ataques de canal lateral afecta a la mayoría de los procesadores, incluidos los procesadores de Intel, AMD y ARM. El ataque permite que los procesos maliciosos del espacio de usuario lean la memoria del núcleo y el código malicioso en los invitados para leer la memoria del hipervisor.
Para solucionar el problema, se necesitan actualizaciones del kernel de Ubuntu y el microcódigo del procesador. Las actualizaciones se anuncian en los Avisos de seguridad de Ubuntu . Ahora se han anunciado actualizaciones relacionadas con Meltdown / Spectre, que cubren las actualizaciones del kernel y de algunos programas de espacio de usuario.
Se han publicado las siguientes actualizaciones:
USN-3531-1 proporciona actualizaciones de microcódigo de Intel.Debido a las regresiones, las actualizaciones de microcódigo se han revertido por ahora ( USN-3531-2 ).Los usuarios deben instalar inmediatamente las actualizaciones a medida que se lanzan de la manera normal . Se requiere un reinicio para que las actualizaciones del núcleo y el microcódigo surtan efecto.
Los usuarios pueden verificar que los parches de aislamiento de la tabla de la página del núcleo estén activos después del reinicio.
No se proporcionarán actualizaciones para Ubuntu 17.04 (Zesty Zapus) ya que llegó al final de su vida útil el 13 de enero de 2018.
Antes de que se publicaran las actualizaciones de seguridad, Dustin Kirkland había proporcionado más detalles sobre qué actualizaciones esperar en una publicación de blog , incluida la mención de las actualizaciones del núcleo, así como las actualizaciones de microcódigo de la CPU, gcc y qemu.
Kiko Reis de Canonical escribió una descripción accesible del impacto de estas vulnerabilidades y sus mitigaciones para los usuarios de Ubuntu el 24 de enero de 2018.
El equipo de seguridad de Ubuntu mantiene su estado actual sobre estos problemas y una pregunta técnica oficial que detalla las variantes de vulnerabilidad individuales específicas y sus migraciones bajo diferentes casos de uso.
Tenga en cuenta que las actualizaciones de la versión principal y estable de Linux desde la v4.15 (28 de enero de 2018) en adelante incluyen las correcciones apropiadas y los núcleos de Ubuntu se basan en ellas. Como tal, todas las versiones de Ubuntu que usan Linux Kernel versiones 4.15.0 y posteriores están parcheadas (incluyendo 18.04 y 18.10).
fuente
Aquí hay cosas específicas a tener en cuenta, y esto se recoge de algunas de las listas de correo de análisis y seguridad en las que estoy, que van más allá de Ubuntu:
El ataque Meltdown puede parchearse a nivel de núcleo. Esto ayudará a proteger contra el conjunto de vulnerabilidades Meltdown.
El vector de ataque Spectre es mucho más difícil de proteger, pero también es mucho más difícil de explotar para los malos. Si bien hay parches de software para vectores de ataque conocidos , como un vector de ataque LLVM que puede ser parcheado, el problema central es que para reparar realmente Spectre, tiene que alterar el funcionamiento y el comportamiento del hardware de la CPU. Esto hace que sea MUCHO más difícil protegerse, porque solo los vectores de ataque conocidos realmente pueden parchearse. Sin embargo, cada pieza de software necesita un refuerzo individual para este problema, lo que significa que es uno de esos tipos de acuerdos "un parche no soluciona todo".
Ahora, para las grandes preguntas:
¿Cuándo estarán disponibles las correcciones?
Le daré la misma respuesta que obtuve del equipo de Kernel: "Cuando estamos seguros de que los parches funcionan y de que no rompemos nada más en el camino".
Ahora, una gran cosa a tener en cuenta: había una fecha prevista para una divulgación pública del 9 de enero, que se suponía que coincidía con una publicación de correcciones. Sin embargo, la divulgación tuvo lugar el 3 de enero. El equipo del kernel y el equipo de seguridad todavía están apuntando a la fecha del 9 de enero, sin embargo , este no es un plazo firme, y podría haber demoras si se rompe algo importante en el proceso.
¿Hay algún lugar donde debería estar buscando más actualizaciones sobre Meltdown y Spectre?
Si en realidad El equipo de Seguridad de Ubuntu tiene un artículo de base de conocimiento sobre Spectre y Meltdown, y ahí es donde notará algunos informes de estado sobre la línea de tiempo para las revisiones que se lanzarán y qué no.
Usted debe también observar de la Seguridad Equipo de Ubuntu Seguridad Notificaciones sitio, y mantener un ojo hacia fuera para el anuncio de correcciones de ser puesto a disposición de los granos.
Otros enlaces relevantes que debe vigilar:
fuente
20 de enero de 2018
Specter Protection ( Retpoline ) fue lanzado para Kernel 4.9.77 y 4.14.14 por el equipo de Linux Kernel el 15 de enero de 2018. El equipo de Ubuntu Kernel solo lanzó la versión de kernel 4.9.77 el 17 de enero de 2018 y no ha publicado la versión de kernel 4.14 .14. El motivo no está claro por qué, pero 4.14.14 se volvió a solicitar como se respondió en Preguntar a Ubuntu: ¿Por qué se lanzó el kernel 4.9.77 pero no el kernel 4.14.14? y no apareció hasta hoy.
17 de enero de 2018 Agregando soporte de espectro a Meltdown
Pensé que algunos estarían interesados en los cambios en 4.14.14 (a partir del 4.14.13) como se documenta en los comentarios de los programadores que creo que son bastante detallados para los programadores del núcleo C debido a mi exposición limitada. Estos son los cambios del kernel 4.14.13 al 4.14.14, centrándose principalmente en el soporte de Spectre :
Si tiene alguna pregunta sobre la documentación de los programadores, publique un comentario a continuación y haré todo lo posible para responder.
16 de enero de 2018 Specter actualización en 4.14.14 y 4.9.77
Si ya está ejecutando Kernel versiones 4.14.13 o 4.9.76 como yo, es fácil de instalar
4.14.14
y4.9.77
cuando salgan en un par de días para mitigar el agujero de seguridad de Spectre. El nombre de esta solución es Retpoline, que no tiene el severo impacto en el rendimiento que se especuló anteriormente:Actualización del 12 de enero de 2018
La protección inicial de Spectre está aquí y se mejorará en las próximas semanas y meses.
Kernels de Linux 4.14.13, 4.9.76 LTS y 4.4.111 LTS
De este artículo de Softpedia :
Muchos usuarios tuvieron problemas con las actualizaciones de Ubuntu LTS el 4 de enero de 2018 y el 10 de enero de 2018. He estado usando
4.14.13
durante un par de días sin ningún problema, sin embargo, YMMV . Vaya al final para obtener instrucciones sobre cómo instalar Kernel 14.14.13.Actualización del 7 de enero de 2018
Greg Kroah-Hartman escribió ayer una actualización de estado sobre los agujeros de seguridad Meltdown y Specter Linux Kernel. Algunos pueden llamarlo el segundo hombre más poderoso del mundo Linux justo al lado de Linus. El artículo aborda los núcleos estables (que se analizan a continuación) y los núcleos LTS que utiliza la mayoría de Ubuntu.
No recomendado para usuarios promedio de Ubuntu
Este método implica la instalación manual del último núcleo principal (estable) y no se recomienda para el usuario promedio de Ubuntu. La razón es que después de instalar manualmente un núcleo estable, permanece allí hasta que instale manualmente uno más nuevo (o más antiguo). Los usuarios promedio de Ubuntu están en la rama LTS que instalará un nuevo núcleo automáticamente.
Como otros han mencionado, es más simple esperar a que el equipo del kernel de Ubuntu envíe actualizaciones a través del proceso regular.
Esta respuesta es para usuarios avanzados de Ubuntu que desean arreglar la seguridad de "Meltdown" de inmediato y están dispuestos a hacer un trabajo manual adicional.
Kernels de Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52 y 3.2.97 Fallo de fusión de parches
De este artículo :
Se insta a los usuarios a actualizar sus sistemas de inmediato
4 de enero de 2018 01:42 GMT · Por Marius Nestor
Los mantenedores de kernel de Linux Greg Kroah-Hartman y Ben Hutchings han lanzado nuevas versiones de la serie de kernel Linux 4.14, 4.9, 4.4, 3.16, 3.18 y 3.12 LTS (Soporte a largo plazo) que aparentemente corrige uno de los dos defectos de seguridad críticos que afectan a la mayoría de los modernos procesadores
Los núcleos Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 y 3.2.97 ahora están disponibles para descargar desde el sitio web kernel.org, y se insta a los usuarios a actualizar sus distribuciones GNU / Linux a estas nuevas versiones si ejecutan cualquiera de esas series de kernel inmediatamente. ¿Por qué actualizar? Porque aparentemente corrigen una vulnerabilidad crítica llamada Meltdown.
Como se informó anteriormente, Meltdown y Spectre son dos exploits que afectan a casi todos los dispositivos alimentados por procesadores modernos (CPU) lanzados en los últimos 25 años. Sí, eso significa casi todos los teléfonos móviles y computadoras personales. Meltdown puede ser explotado por un atacante sin privilegios para obtener maliciosamente información confidencial almacenada en la memoria del núcleo.
Parche para la vulnerabilidad Spectre aún en proceso
Si bien Meltdown es una vulnerabilidad grave que puede exponer sus datos secretos, incluidas las contraseñas y las claves de cifrado, Spectre es aún peor, y no es fácil de solucionar. Los investigadores de seguridad dicen que nos perseguirá durante bastante tiempo. Se sabe que Specter explota la técnica de ejecución especulativa utilizada por las CPU modernas para optimizar el rendimiento.
Hasta que se repare también el error de Spectre, se recomienda encarecidamente que al menos actualice sus distribuciones de GNU / Linux a cualquiera de las versiones de kernel de Linux recientemente lanzadas. Por lo tanto, busque en los repositorios de software de su distribución favorita la nueva actualización del kernel e instálela lo antes posible. No esperes hasta que sea demasiado tarde, ¡hazlo ahora!
Había estado usando Kernel 4.14.10 durante una semana, así que descargar y arrancar Ubuntu Mainline Kernel versión 4.14.11 no era una gran preocupación para mí.
Los usuarios de Ubuntu 16.04 pueden sentirse más cómodos con las versiones de kernel 4.4.109 o 4.9.74 que se lanzaron al mismo tiempo que 4.14.11.
Si sus actualizaciones habituales no instalan la versión del kernel que desea, puede hacerlo manualmente siguiendo esta pregunta a Ubuntu: ¿Cómo actualizo el kernel a la última versión de la línea principal?
4.14.12 - Qué diferencia hace un día
Menos de 24 horas después de mi respuesta inicial, se lanzó un parche para corregir la versión del kernel 4.14.11 que pueden haber precipitado. Se recomienda actualizar a 4.14.12 para todos los usuarios de 4.14.11. Greg-KH dice :
Mirando esta actualización, no se cambiaron muchas líneas de código fuente.
Kernel 4.14.13 Instalación
Se introdujeron más revisiones de Meltdown y el comienzo de las características de Spectre en Linux Kernels 4.14.13, 4.9.76 y 4.4.111.
Hay razones por las que desea instalar el último núcleo de la línea principal:
A partir del 15 de enero de 2018, el último núcleo estable estable es
4.14.13
. Si elige instalarlo manualmente, debe saber:sudo apt auto-remove
comando habitual . Debe seguir esto: ¿Cómo elimino las versiones antiguas del kernel para limpiar el menú de arranque?sudo update-grub
y luego el último núcleo LTS de Ubuntu será la primera opción llamada Ubuntu en el menú principal de Grub.Ahora que las advertencias están fuera del camino, para instalar el último núcleo de la línea principal ( 4.14.13 ) siga este enlace: ¿Cómo actualizar el núcleo a la última versión de la línea principal sin ninguna actualización de Distro?
fuente
4.14.11
kernel y ejecutarsudo apt list --upgradable
revelaapport/xenial-updates,xenial-updates,xenial-security,xenial-security 2.20.1-0ubuntu2.15 all [upgradable from: 2.20.1-0ubuntu2.14]
y una gran cantidad de otros paquetes. Luego, la ejecución lossudo apt upgrade
instala a todos. ¿Hay algún enlace que alguien pueda proporcionar que muestre que las actualizaciones de seguridad están desactivadas? Me gustaría aprender mas. Estoy de acuerdo con Robie ya que el agujero de seguridad ha existido durante 25 años esperando unos días para que Ubuntu Kernel Team aplique sus propios parches en lugar de los parches del kernel del equipo de Linux tiene sentido.