Setiap pertanyaan yang berkaitan dengan pembaruan status, atau menanyakan apakah ada sesuatu yang akan ditambal untuk kerentanan ini harus ditutup sebagai duplikat dari pertanyaan ini.
Meltdown dan Spectre ada di berita sekarang dan terdengar cukup parah. Saya tidak melihat pembaruan keamanan dari Ubuntu yang mencakup kerentanan ini.
Apa yang dilakukan Ubuntu tentang kerentanan ini, dan apa yang harus dilakukan pengguna Ubuntu?
Ini adalah CVE-2017-5753, CVE-2017-5715 dan CVE-2017-5754.
intel-microcode
?Jawaban:
Ditemukan bahwa serangan samping saluran kelas baru berdampak pada sebagian besar prosesor, termasuk prosesor dari Intel, AMD, dan ARM. Serangan itu memungkinkan proses userspace jahat untuk membaca memori kernel dan kode berbahaya di tamu untuk membaca memori hypervisor.
Untuk mengatasi masalah ini, pembaruan untuk kernel Ubuntu dan mikrokode prosesor diperlukan. Pembaruan diumumkan dalam Pemberitahuan Keamanan Ubuntu . Pembaruan terkait Meltdown / Spectre kini telah diumumkan, mencakup pembaruan untuk kernel dan beberapa perangkat lunak userspace.
Pembaruan berikut telah dirilis:
USN-3531-1 menyediakan pembaruan mikrokode Intel.Karena regresi, pembaruan mikrokode telah dikembalikan untuk saat ini ( USN-3531-2 ).Pengguna harus segera menginstal pembaruan saat dirilis secara normal . Diperlukan boot ulang agar pembaruan kernel dan mikrokode berlaku.
Pengguna dapat memverifikasi tambalan isolasi tabel halaman kernel aktif setelah reboot.
Pembaruan untuk Ubuntu 17.04 (Zesty Zapus) tidak akan diberikan karena telah mencapai akhir masa pakainya pada 13 Januari 2018.
Sebelum pembaruan keamanan dirilis, Dustin Kirkland telah memberikan beberapa rincian lebih lanjut tentang pembaruan apa yang diharapkan dalam posting blog , termasuk penyebutan pembaruan kernel serta pembaruan mikrokode CPU, gcc, dan qemu.
Kiko Reis dari Canonical menulis deskripsi yang dapat diakses tentang dampak kerentanan ini dan mitigasinya bagi pengguna Ubuntu pada 24 Januari 2018.
Tim Keamanan Ubuntu sedang mempertahankan status mereka saat ini tentang masalah ini dan FAQ teknis resmi yang menjelaskan secara terperinci tentang varian kerentanan individu tertentu dan migrasi mereka dalam berbagai kasus penggunaan.
Perhatikan bahwa arus utama Linux dan pembaruan rilis stabil dari v4.15 (28 Januari 2018) dan seterusnya termasuk perbaikan yang sesuai dan kernel Ubuntu didasarkan pada hal itu. Dengan demikian, semua versi Ubuntu yang menggunakan Linux Kernel versi 4.15.0 dan yang lebih tinggi akan ditambal (termasuk 18.04 dan 18.10).
sumber
Ada hal-hal khusus yang perlu diingat di sini, dan ini diambil dari beberapa mailing list analisis dan keamanan yang saya gunakan di luar hanya Ubuntu:
The Meltdown serangan mampu ditambal pada tingkat kernel. Ini akan membantu melindungi dari set kerentanan Meltdown.
The Spectre vektor serangan jauh lebih sulit untuk melindungi, tetapi juga jauh lebih sulit untuk orang-orang jahat untuk mengeksploitasi. Meskipun ada tambalan perangkat lunak untuk vektor serangan yang diketahui , seperti vektor serangan LLVM yang dapat ditambal, masalah intinya adalah bahwa untuk benar-benar memperbaiki Specter Anda harus mengubah cara kerja dan perilaku perangkat keras CPU. Ini membuatnya jauh lebih sulit untuk dilindungi, karena hanya vektor serangan yang diketahui yang benar-benar dapat ditambal. Namun, setiap perangkat lunak membutuhkan pengerasan individu untuk masalah ini, yang berarti bahwa itu salah satu dari jenis "satu tambalan tidak memperbaiki semua".
Sekarang, untuk pertanyaan besar:
Kapan perbaikan akan tersedia?
Saya akan memberikan jawaban yang sama dengan yang saya dapatkan dari tim Kernel: "Ketika kami yakin tambalan bekerja dan bahwa kami tidak merusak hal lain secara besar-besaran di sepanjang jalan."
Sekarang, hal yang besar untuk mempertimbangkan: Ada adalah tanggal yang ditargetkan untuk pengungkapan publik 9 Januari yang seharusnya bertepatan dengan rilis perbaikan. Namun, pengungkapan terjadi pada 3 Januari, sebagai gantinya. Tim kernel dan Tim Keamanan masih menargetkan tanggal 9 Januari, namun ini bukan tenggat waktu yang pasti, dan mungkin ada penundaan jika sesuatu yang utama pada kernel terputus dalam proses
Apakah ada tempat saya harus mencari pembaruan lebih lanjut tentang Meltdown dan Specter?
Ya, sebenarnya. Tim Keamanan Ubuntu memiliki artikel basis pengetahuan tentang Specter dan Meltdown, dan di situlah Anda akan melihat beberapa laporan status tentang timeline untuk perbaikan yang dirilis dan apa yang tidak.
Anda juga harus menonton situs Pemberitahuan Keamanan Tim Keamanan Ubuntu , dan mengawasi pengumuman perbaikan yang disediakan untuk kernel.
Tautan relevan lainnya yang harus Anda perhatikan:
sumber
20 Januari 2018
Spectre protection ( Retpoline ) dirilis untuk Kernel 4.9.77 dan 4.14.14 oleh tim Kernel Linux pada 15 Januari 2018. Tim Kernel Ubuntu hanya merilis kernel versi 4.9.77 pada 17 Januari 2018 dan belum menerbitkan versi kernel 4.14 .14. Alasannya tidak jelas mengapa tetapi 4.14.14 telah diminta kembali seperti yang dijawab dalam Tanya Ubuntu: Mengapa kernel 4.9.77 dirilis tetapi bukan kernel 4.14.14? dan tidak muncul sampai hari ini.
17 Januari 2018 Menambahkan Dukungan Specter ke Meltdown
Saya pikir beberapa akan tertarik dengan perubahan pada 4.14.14 (dari 4.14.13) sebagaimana didokumentasikan dalam komentar pemrogram yang menurut saya cukup detail untuk pemrogram kernel C dari paparan terbatas saya. Berikut adalah perubahan dari 4.14.13 ke 4.14.14 kernel yang berfokus terutama pada dukungan Specter :
Jika Anda memiliki pertanyaan tentang dokumentasi programer, berikan komentar di bawah ini dan saya akan mencoba yang terbaik untuk menjawab.
16 Januari 2018 memperbarui Specter di 4.14.14 dan 4.9.77
Jika Anda sudah menjalankan versi Kernel 4.14.13 atau 4.9.76 seperti saya, ini adalah hal yang sulit untuk diinstal
4.14.14
dan4.9.77
ketika mereka keluar dalam beberapa hari untuk mengurangi lubang keamanan Spectre. Nama perbaikan ini adalah Retpoline yang tidak memiliki performa buruk yang diperkirakan sebelumnya:Pembaruan 12 Januari 2018
Perlindungan awal dari Specter ada di sini dan akan ditingkatkan dalam beberapa minggu dan bulan mendatang.
Kernel Linux 4.14.13, 4.9.76 LTS, dan 4.4.111 LTS
Dari artikel Softpedia ini :
Banyak pengguna memiliki masalah dengan pembaruan Ubuntu LTS pada 4 Januari 2018 dan 10 Januari 2018. Saya telah menggunakan
4.14.13
selama beberapa hari tanpa masalah namun YMMV . Lewati ke bawah untuk instruksi menginstal Kernel 14.14.13.7 Januari 2018 pembaruan
Greg Kroah-Hartman menulis pembaruan status pada lubang keamanan Kernel Meltdown dan Specter Linux kemarin. Beberapa orang mungkin memanggilnya orang paling kuat kedua di dunia Linux tepat di sebelah Linus. Artikel ini membahas kernel stabil (dibahas di bawah) dan kernel LTS yang digunakan sebagian besar Ubuntu.
Tidak direkomendasikan untuk Pengguna Ubuntu rata-rata
Metode ini melibatkan penginstalan kernel arus utama (stabil) terbaru secara manual dan tidak direkomendasikan untuk rata-rata pengguna Ubuntu. Alasannya adalah setelah Anda menginstal kernel stabil secara manual, ia tetap di sana sampai Anda menginstal secara manual yang lebih baru (atau lebih tua). Rata-rata pengguna Ubuntu ada di cabang LTS yang akan menginstal kernel baru secara otomatis.
Seperti yang telah disebutkan oleh orang lain, lebih mudah untuk menunggu Tim Kernel Ubuntu untuk mendorong pembaruan melalui proses reguler.
Jawaban ini untuk pengguna Ubuntu lanjut yang menginginkan keamanan "Meltdown" segera diperbaiki dan bersedia untuk melakukan pekerjaan manual tambahan.
Kernel Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52, dan 3.2.97 Patch Meltdown Flaw
Dari artikel ini :
Pengguna didesak untuk segera memperbarui sistem mereka
4 Jan 2018 01:42 GMT · Oleh Marius Nestor
Pemelihara kernel Linux Greg Kroah-Hartman dan Ben Hutchings telah merilis versi baru dari Linux 4.14, 4.9, 4.4, 3.16, 3.18, dan 3.12 seri kernel LTS (Long Term Support) yang tampaknya menambal salah satu dari dua kelemahan keamanan kritis yang mempengaruhi paling modern pengolah.
Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91, dan 3.2.97 kernel sekarang tersedia untuk diunduh dari situs kernel.org, dan pengguna didesak untuk memperbarui distribusi GNU / Linux mereka ke versi baru ini jika mereka menjalankan salah satu dari seri kernel tersebut dengan segera. Mengapa memperbarui? Karena mereka tampaknya menambal kerentanan kritis yang disebut Meltdown.
Seperti yang dilaporkan sebelumnya, Meltdown dan Specter adalah dua eksploitasi yang mempengaruhi hampir semua perangkat yang ditenagai oleh prosesor modern (CPU) yang dirilis dalam 25 tahun terakhir. Ya, itu berarti hampir semua ponsel dan komputer pribadi. Meltdown dapat dieksploitasi oleh penyerang tidakrivil untuk secara jahat memperoleh informasi sensitif yang disimpan dalam memori kernel.
Kerentanan Patch untuk Spectre masih dalam pengerjaan
Walaupun Meltdown adalah kerentanan serius yang dapat mengekspos data rahasia Anda, termasuk kata sandi dan kunci enkripsi, Specter bahkan lebih buruk, dan itu tidak mudah untuk diperbaiki. Peneliti keamanan mengatakan itu akan menghantui kita selama beberapa waktu. Spectre diketahui mengeksploitasi teknik eksekusi spekulatif yang digunakan oleh CPU modern untuk mengoptimalkan kinerja.
Sampai bug Spectre juga ditambal, sangat disarankan agar Anda setidaknya memperbarui distribusi GNU / Linux Anda ke versi kernel Linux yang baru dirilis. Jadi cari repositori perangkat lunak dari distro favorit Anda untuk pembaruan kernel baru dan instal sesegera mungkin. Jangan tunggu sampai terlambat, lakukan sekarang!
Saya telah menggunakan Kernel 4.14.10 selama seminggu sehingga mengunduh dan mem-boot Ubuntu Mainline Kernel versi 4.14.11 tidak terlalu menjadi masalah bagi saya.
Pengguna Ubuntu 16.04 mungkin lebih nyaman dengan versi kernel 4.4.109 atau 4.9.74 yang dirilis bersamaan dengan 4.14.11.
Jika pembaruan rutin Anda tidak menginstal versi Kernel yang Anda inginkan, Anda dapat melakukannya secara manual dengan mengikuti ini Tanya jawab Ubuntu: Bagaimana cara saya memperbarui kernel ke versi arus utama terbaru?
4.14.12 - Apa perbedaan dalam sehari
Kurang dari 24 jam setelah jawaban awal saya, sebuah patch dirilis untuk memperbaiki versi kernel 4.14.11 yang mungkin telah mereka buru-buru. Upgrade ke 4.14.12 direkomendasikan untuk semua pengguna 4.14.11. Greg-KH mengatakan :
Melihat pembaruan ini tidak banyak baris kode sumber yang diubah.
Kernel 4.14.13 Instalasi
Lebih banyak revisi Meltdown dan awal fitur Spectre diperkenalkan di Linux Kernels 4.14.13, 4.9.76 dan 4.4.111.
Ada beberapa alasan mengapa Anda ingin menginstal kernel arus utama terbaru:
Pada 15 Januari 2018 kernel utama terbaru yang stabil adalah
4.14.13
. Jika Anda memilih untuk menginstalnya secara manual, Anda harus tahu:sudo apt auto-remove
perintah yang biasa . Anda harus mengikuti ini: Bagaimana cara saya menghapus versi kernel lama untuk membersihkan menu boot?sudo update-grub
dan kemudian kernel LTS terbaru Ubuntu akan menjadi opsi pertama yang disebut Ubuntu pada menu utama Grub.Sekarang setelah peringatan keluar dari jalan, untuk menginstal kernel arus utama terbaru ( 4.14.13 ) ikuti tautan ini: Bagaimana cara memperbarui kernel ke versi arus utama terbaru tanpa distro-upgrade?
sumber
4.14.11
kernel dan runningsudo apt list --upgradable
mengungkapkanapport/xenial-updates,xenial-updates,xenial-security,xenial-security 2.20.1-0ubuntu2.15 all [upgradable from: 2.20.1-0ubuntu2.14]
dan sejumlah paket lain. Kemudian jalankansudo apt upgrade
instal semuanya. Apakah ada tautan yang dapat diberikan seseorang yang menunjukkan pembaruan keamanan dimatikan? Saya ingin belajar lebih banyak. Saya setuju dengan Robie karena lubang keamanan telah ada selama 25 tahun menunggu beberapa hari untuk Tim Kernel Ubuntu untuk menerapkan tambalan mereka sendiri daripada tambalan kernel tim Linux masuk akal.