Meltdown und Spectre: Linux Update
Inhaltsverzeichnis
Meltdown (Variante 3 des Prozessorfehlers)
Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er behebt die Meltdown Variante des Prozessorfehlers. Für Fedora reicht ein:dnf upgrade
Auch für Ubuntu wurden folgende Kernel mit dem Page-Table-Isolation-Code gegen Meltdown freigegeben:
- 12.04 ESM Precise (kernel v3.2)
- 14.04 LTS Trusty (kernel v3.13)
- 16.04 LTS Xenial (kernel v4.4)
- 17.10 Artful (kernel v4.13)
Für ein Update reicht hier ein:
apt-get update && apt-get upgrade
Spectre (Variante 1 des Prozessorfehlers)
Variante 1 kann nur durch Compiler oder den Anwendungen selbst behoben werden. Die Compiler Änderungen befinden sich noch in Arbeit.Die Browser Firefox 57.0.4 (bereits veröffentlicht und unter Fedora oder Ubuntu verfügbar) und Chrome 64 (23 Januar 2018) haben bereits Patches gegen Variante 1 von Spectre.
Da es sich generell um eine neue Angriffsklasse handelt, sollte man die eingebauten Patches nur als eine Art Abschwächung für das Ausnutzen des Prozessorfehlers ansehen. Eine 100% Sicherheit gibt es aktuell nicht.
Spectre (Variante 2 des Prozessorfehlers)
Laut Kernel-Entwickler Greg Kroah-Hartman (GregKH) wurden bisher noch keine Patches gegen den Spectre Angriffsvektor in die offiziellen Kernelreihen eingebracht. Es liegen wohl eine Menge Patches auf diversen Mailinglisten vor, die das Problem auch angehen, aber sie stecken alle noch mitten in der Entwicklung. So wie es aktuell aussieht wird der "Return Trampoline" (Retpoline) Patch ab Kernel 4.15 einen Teil des Problem lösen. Aber auch hier wird noch auf Compiler-Updates gewartet. Weitere Schutzmaßnahmen sollen später durch die neuen Microcode Update von Intel erfolgen.Wer das Glück von Bios/UEFI Microcode-Updates hat (nur neue Motherboards), braucht sich unter Linux auch bei der 2 Variante von Spectre keine Gedanken machen.
Linux prüfen
Ab Kernel 4.14.13 kann man den Status der Meltdown und Spectre Varianten mit Hilfe von /sys/device überprüfen. Hier der Test auf meinem System (Fedora 27):Meltdown
# cat /sys/devices/system/cpu/vulnerabilities/meltdown
Mitigation: PTI
# cat /sys/devices/system/cpu/vulnerabilities/spectre_v1
Vulnerable
# cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
Vulnerable: Minimal generic ASM retpoline
Weitere Informationen:
- Meltdown und Spectre: Realitätscheck
- Sicherheitslücke Spectre und Meltdown: Status prüfen
- Meltdown und Spectre: Die machen uns alle was vor
Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 361732
Url: https://administrator.de/contentid/361732
Ausgedruckt am: 23.11.2024 um 08:11 Uhr