24 godziny po opublikowaniu luk na dużą skalę Rackspace milczy na temat Spectre i Meltdown. Nie mają planu łatania wszystkich hiperwizorów Xen. Wszystkie ich nowsze serwery platformy są serwerami HVM, które są podatne na ataki. Starsze serwery PV nie są wrażliwe.
Zaktualizowałem jądro Linux moich gości HVM, ale Rackspace nie zaktualizował żadnego z ich hypervisorów. Czy zaktualizowanie jądra gościa na niezałatowanym hiperwizorze uniemożliwi maszynom wirtualnym „złego faceta” dostęp do pamięci wyciekającej z mojego załatanego hosta?
linux
xen
cloud-computing
rackspace
vulnerabilities
Danny F.
źródło
źródło
Odpowiedzi:
Z tego, co rozumiem na temat luk, nie - spekulacyjne ataki buforowania omijają wszystkie zabezpieczenia procesora przed procesem chwytającym pamięć z dowolnego dowolnego adresu.
Wierzę, że dotyczy to sąsiadujących maszyn wirtualnych (nawet tych załatanych w celu ochrony przed samym atakiem), a także przestrzeni pamięci jądra hiperwizora - ale nawet jeśli brakuje mi czegoś, co chroniłoby przed bezpośrednim ujawnieniem pamięci, istnieje również potencjał że osoba atakująca może użyć swojego dostępu do pamięci jądra, aby uzyskać pełniejszy dostęp do hiperwizora.
Zdecydowanie nie chcesz ryzykować uruchomienia wrażliwego obciążenia na niezakończonym hiperwizorze dowolnego rodzaju, jeśli nie ufasz wszystkim maszynom wirtualnym na nim działającym.
źródło
Spectre and Meltdown.
Gdzie zaczynamy? źle, mam na myśli bardzo złą informację prasową o czymś, co może, ale nie musi wpłynąć na twój komputer, stację roboczą, serwer lub serwer w chmurze. Tak, całkowicie tak jest, ale musisz mieć lokalny dostęp do procesora, który może być komputerem lub telefonem, Apple został podany przykładem, ale pomyślmy o jego procesorze ARM, więc każda platforma mobilna, która obsługuje (funkcja / ekspozycja mikrokodu / zbyt duża kontrola procesora z systemu operacyjnego / etc / etc)
Aplikacja musi działać na procesorze urządzenia, więc pomyślałbym, że dostęp do konsoli, a przynajmniej zdalny użytkownik, który uzyskuje dostęp do systemu, dostęp do urządzenia wejściowego ....
W tej chwili jedynym znanym sposobem na wykorzystanie tych luk jest lokalny / bezpośredni dostęp do procesora (ponownie może być zdalny, gdy masz SSH / VNC itp.)
Poniżej znajdują się łatki, które znalazłem do tej pory.
https://alas.aws.amazon.com/ALAS-2018-939.htm l
Teraz musi to być najlepsza odpowiedź na bieżący problem
Co powiedzieli nasi przyjaciele z BSD?
Złe google; (
sprawdzenie PowerShell dla tego samego;)
Jądro Linuksa Ok, mieliśmy ciekawy tydzień i do tej pory wszyscy wiedzą, dlaczego połączyliśmy wszystkie te dziwne łatki izolujące tablice stron x86, nie przestrzegając wszystkich normalnych reguł czasowych wydania.
Mogę / wrócę i edytuję ten post. Jestem pewien, że nie-problem (aż w naturze) nie będzie prawdziwym problemem długi rybitwa. Google naprawdę powinno było przestrzegać dat ujawnienia informacji tutaj! -1 dla Google
źródło