[번역] Linux vs Meltdown과 Spectre 전투 계속됨

Linux vs Meltdown과 Spectre 전투 계속됨

픽스 붕괴와 스펙터는 리눅스와 다른 모든 운영체제 프로그래머들에게 오랜 시간이 걸릴 것이다. 여기에 리눅스 개발자가 있습니다.

에 의해 스티븐 J. 본입 - 니콜스 에 대한 리눅스 및 오픈 소스 | 2018 년 1 월 8 일 - 22:12 GMT (06:12 GMT + 08 : 00) | 주제 : 보안

리눅스 개발자들은 붕괴와 유령 처리에 많은 진전을 만들었습니다 . 좋습니다.하지만 끝내야 할 일이 많이 남아 있습니다.

첫째로, 간단한 리프레셔.

Meltdown 은 CPU 취약점입니다. 최신 프로세서의 순서에 벗어난 실행을 사용하여 임의의 커널 메모리 위치를 읽는 방식으로 작동합니다. 여기에는 개인 데이터와 암호가 포함될 수 있습니다. 이 기능은 중요한 성능 기능이었습니다. 2010 년 이후의 인텔 프로세서에서 가장 많이 사용되는 현대 프로세서에 많이 사용됩니다. 사용자 응용 프로그램과 운영 체제의 메모리 할당 사이의 벽을 파괴함으로써 잠재적으로 다른 프로그램과 운영 체제의 메모리를 감시하는 데 사용될 수 있습니다.

스펙터 (Specter) 는 여러 애플리케이션 간의 장벽을 허물어 버립니다 . 이론적으로는 응용 프로그램을 트릭하여 커널, 메모리 위치가 아닌 임의의 프로그램에 액세스하도록 이론적으로 사용할 수 있습니다. Spectre는 Meltdown보다 공격하기가 어렵지만, 완화하기가 더 어려우며 Meltdown보다 더 많은 칩 아키텍처를 공격합니다. 현재로서는 보편적 인 스펙터 패치가 없습니다.

리눅스 개발자들은 두 가지 문제에 대해 만족하지 않습니다. 그들은 루프에 보관되지 않았으며 보안 취약점을 완화하기 위해 패치를 밖으로 내 보내야했습니다. Linux stable branch의 관리자 인 Greg Kroah-Hartman은 " 리눅스 커널 커뮤니티와 적절하게 상호 작용하지 않는 방법에 대한 교과서의 예 "라고 말하면서 , 관련된 사람들과 회사는 무슨 일이 일어 났는지 알고 있으며, 모든 것이 결국 나올 것이지만, 지금 당장 우리는 문제의 해결에 집중할 필요가있다.

그렇다면 우리는 어디에서 문제를 해결할 것인가? 작업은 계속되고 있지만 안정적인 리눅스 커널 4.14.2의 최신 업데이트에는 최신 패치가 포함되어 있습니다. 일부 사용자는 이번 릴리스에서 부트 문제가 발생할 수 있지만 4.14.13은 며칠 내에 종료 될 것입니다.

4.4 및 4.9 안정 커널 트리에도 패치가 추가되었습니다. 그러나 Kroah-Hartman은 "이 백 포트는 4.14 및 4.15에있는 메인 라인 버전과 매우 다른데, 다른 버그가 발생했습니다." 그러나 그는 "지금은 소수에 불과하며 업그레이드를 막지 않아야한다"고 말했다.

구형 리눅스 커널로 리눅스 배포판을 돌리고 있다면 멈추십시오. 패치가 없습니다!

왜 안돼? Kroah-Hartman은 "Meltdown 문제를 해결하기위한 패치가 없기 때문에 현재 커널 버전에 포함되어있는 수백 가지의 알려진 악용 및 버그에 비해 미미합니다." 그는 계속해서 "당신이 쓸모없고 안전하지 않은 커널 버전을 실행하도록 강요 한 사람들에게 소리 쳐라. 그렇게하는 것은 완전히 무모한 행동이라는 것을 배워야한다."

당신이 실행하는 경우 잠금로드 할 준비하면서 ARM64 프로세서, 패치를, 밖으로 아직 없습니다. 그들은 몇 주 안에 4.15에서 사용할 수 있습니다. 그러나 패치는 Android 공통 커널 트리 에서 사용할 수 있습니다 . ARM64 수정은 3.18, 4.4 및 4.9 분기 에서 사용할 수 있습니다.

이 패치들은 모두 Meltdown 문제를 해결합니다. 스펙터는 다른 이야기입니다. 아직 사용할 수있는 유령 패치가 없습니다. Kroah-Hartman이 설명했듯이 "Spectre 문제는 커널 개발자가 해결해야 할 마지막 문제 였기 때문에 우리 모두 Meltdown 문제를 연구하고 있었으며 Spectre 문제가 무엇인지 전혀 정확히 알 수 없었습니다. 주위에 떠 다니는 패치는 공개적으로 게시 된 패치보다 훨씬 더 형편 없었습니다. "

따라서 커널 개발자는 "이러한 문제를 해결하고 업스트림에 병합"하기 위해 몇 주일이 걸릴 것입니다. 이상적입니까? 아뇨,하지만 크로아 - 하트만은 어깨를 으.했습니다. "가장 좋은 소식은 아니지만 현실입니다. 위안이라면 다른 운영 체제가 이러한 문제에 대한 완전한 해결책을 가지고있는 것처럼 보이지 않을 것입니다. 업계 전체가 지금 같은 배에 있습니다. 기다릴 필요가 있고 개발자들이 문제를 가능한 빨리 해결할 수 있도록해야한다 "고 말했다.

x86 또는 ARM64에서 Linux를 실행하지 않는 경우 조심하십시오. 지금은 다른 프로세서 유형을위한 패치가 없습니다. x86 (AMD 및 Intel 칩셋), POWER 8, POWER 9, System z 및 SPARC도 취약하다는 것을 알고 있습니다.

특정 배포판에 관해서는 레드햇 과 수세 가 패치를 발표했다.

데비안 은 3 가지 알려진 붕괴 공격 벡터 중 하나 ( CVE-2017-5754) 중 일부 (전부는 아님)에 대해 설명했습니다. 다른 두 가지 인 CVE-2017-5715 및 CVE-2017-5753의 경우 데비안은 여전히 ​​공격 대상입니다.

Ubuntu 제품 개발 부사장 인 Canonical 의 Dustin Kirkland 는 세 가지 문제에 대한 후보 커널을 현재 사용할 수 있다고 발표했습니다 . "이 후보로 식별되는 모든 차단 문제가 없으면 GA에 이러한 커널을 2018 년 1 월 9 일까지 우분투의 보안 아카이브로 기대합니다 . "

따라서 해결할 수있는 문제는 곧 주요 Linux 라인에서 수정 될 것입니다. 그러나 이것은 시작일뿐입니다. Meltdown과 Spectre 변종은 수년 동안 우리와 함께 할 것입니다. Kroah-Hartman이 결론을 내리면, "잠재적 인 문제를 완화 할 수있는 방법을 강구하기 위해 내년에 많은 연구가 이루어질 것입니다."

http://www.zdnet.com/article/the-linux-vs-meltdown-and-spectre-battle-continues/