Ellenőrzések és egyéb érintett rendszerek
Ellenőrzés Linux operációs rendszeren
Futtassuk le ismét a már futtatott programot:
sudo ./spectre-meltdown-checker.sh
Spectre and Meltdown mitigation detection tool v0.21
Checking for vulnerabilities against live running kernel Linux 3.10.0-693.11.6.el7.x86_64 #1 SMP Thu Jan 4 01:06:37 UTC 2018 x86_64
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel:
YES (112 opcodes found, which is >= 70)
> STATUS: NOT VULNERABLE (heuristic to be improved when official patches become available)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation: YES
* Kernel support for IBRS: YES
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)
A false sense of security is worse than no security at all, see --disclaimer
Figyeljük meg, hogy az egyes esetben a STATUS: NOT VULNERABLE, míg a kettes esetben továbbra is STATUS: VULNERABLE. A kettes számú hiba elkerüléséhez további Linux kernel frissítés szükséges. Az ellenőrzött gép egy Linux Mint 18.3 volt, az elérhető legújabb kernellel.
Ellenőrzés Windows operációs rendszeren
Amennyiben az operácis rendszert és a BIOS-t is frissítettük a PowerShellben futassuk le a már ismert parancsot:
Get-SpeculationControlSettings
Most már minden elemnek zöldnek, azaz hibajavított állapotúnak kell lennie.
Érintett Andorid-alapú rendszerek és javításuk
Az összes rendszer érintett. Javasolt felkeresni a gyártót a frissítések telepítéséhez. Ehhez rendelkezésre állhat a telefon beállításai közül a (Settings → System updates → Check for updates / Beállítások → Rendszerfrissítések → Frissítések keresése) rendszerfrissítést, vagy a gyártó által biztosított program segítségével a telefon számítógéphez csatlakoztatásával, majd frissítéssel. A hibajavítást tartalmazó verzió a 2018. január 5-nél újabb frissítési szint.
Érintett Apple-termékek és javításuk
A biztonsági kérdésekről az Apple termékbiztonsági oldalán lehet olvasni bővebben. A Spectre és Meltdown hibával kapcsolatos tájékoztatás.
A javított verziók és elérhetőségük:
- az iOS legújabb verziója a 11.2.2-es. Így frissíthető az iOS szoftver iPhone, iPad és iPod touch készüléken
- a macOS legújabb verziója a 10.13.2-es. Így frissíthető a Mac szoftvere
- a tvOS legújabb verziója a 11.2.1-es. Így frissíthető az Apple TV szoftvere
- Safari 11.0.2 böngészőfrissítés (11604.4.7.1.6 és 12604.4.7.1.6)
Mozilla Firefox frissítések
A Mozilla is közzétett egy blogbejegyzést, valamint egy frissítést az aktuális Firefox 57.0.4 verzióval. Ebben a kiadásba a performance.now() függvény percizitását 20µs-re csökkentette a fejlesztő, és letiltotta a SharedArrayBuffer funkció használatát – amivel csökkenthető a böngészőből is kihasználható Spectre hatékonysága.
Google Chrome és Google Cloud Platform
A Google Cloud Platform – saját bevallása szerint – az összes szolgáltatását frissítette. És a Chrome/Chromiumban is megtették a szükséges lépéseket.
A böngésző használóinak javasolják a webhely-izoláció (Site Isolation) bekapcsolását, annak ellenére, hogy bizonyos helyzetekben hibát is okozhatnak. Bekapcsolható a vállalati házirendeken keresztül vagy a chrome://flags beálltások révén.
Microsoft Internet Explorer és Edge
A Microsoft Edge és az Internet Explorer böngészőkkel kapcsolatos javítások a már fentebb is részletezett KB4056890 javítások telepítésével érhető el.
Javaslatok a weboldal-üzemeltetők számára
A Chromium fejlesztői javasolnak továbbá pár lényeges változtatást a weboldalak beállításaiban, amivel csökkenthető a támadások sikerességének esélye:
- a SameSite és HTTPOnly sütibeállítások használata
- a MIME típusok helyes beállítása
- érzékeny információt tartalmazó oldalakon a "X-Content-Type-Options: nosniff" beállítása
NVIDIA
Az NVIDIA ARM alapú rendszerei, illetve GPU-juk illesztőprogramjai érintettek. A GPU-k önmagukban nem sebezhetőek ezzel a hibával, a gyártó vélekedése szerint: Illesztőprogram-frissítések, érintett termékek: Termékbiztonság
Biztonsági hirdetmény azonosító |
Cím |
CVE-k |
Kiadás dátuma |
Frissítve |
Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 |
01/09/2018 |
01/16/2018 |
||
Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 |
01/05/2018 |
01/16/2018 |
||
Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 |
01/05/2018 |
01/16/2018 |
||
Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 |
01/04/2018 |
01/16/2018 |
||
Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 |
01/04/2018 |
01/16/2018 |
||
Security Bulletin: NVIDIA Driver Security Updates for CPU Speculative Side Channel Vulnerabilities |
Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 |
01/04/2018 |
01/16/2018 |
|
Security Notice: CPU Speculative Side Channel Vulnerabilities) |
Information disclosure: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 |
01/03/2018 |
01/03/2018 |
Összesített gyártói tájékoztatások
- Intel: Security Advisory/Newsroom/Whitepaper
- ARM: Security Update
- AMD: Security Information
- RISC-V: Blog
- NVIDIA: Security Bulletin/Product Security
- Microsoft: Security Guidance/Information regarding anti-virus software/Azure Blog/Windows (Client)/Windows (Server)
- Amazon: Security Bulletin
- Google: Project Zero Blog/Need to know
- Android: Security Bulletin
- Apple: Apple Support
- Lenovo: Security Advisory
- IBM: Blog
- Dell: Knowledge Base/Knowledge Base (Server)
- Hewlett Packard Enterprise: Vulnerability Alert
- HP Inc.: Security Bulletin
- Huawei: Security Notice
- Synology: Security Advisory
- Cisco: Security Advisory
- F5: Security Advisory
- Mozilla: Security Blog
- Red Hat: Vulnerability Response/Performance Impacts
- Debian: Security Tracker
- Ubuntu: Knowledge Base
- SUSE: Vulnerability Response
- Fedora: Kernel update
- Qubes: Announcement
- Fortinet: Advisory
- NetApp: Advisory
- LLVM: Spectre (Variant #2) Patch/Review __builtin_load_no_speculate/Review llvm.nospeculateload
- CERT: Vulnerability Note
- MITRE: CVE-2017-5715/CVE-2017-5753/CVE-2017-5754
- VMWare: Security Advisory/Blog
- Citrix: Security Bulletin/Security Bulletin (XenServer)
- Xen: Security Advisory (XSA-254)/FAQ
A cikk még nem ért véget, kérlek, lapozz!