Vraag Wat is de status van Ubuntu voor de kwetsbaarheden van Meltdown en Spectre?


Vragen met betrekking tot statusupdates of vragen of iets voor deze kwetsbaarheden zal worden gepatcht, moeten worden gesloten als duplicaten van deze vraag.

Meltdown en Spectre zijn nu in het nieuws en klinken behoorlijk streng. Ik zie geen beveiligingsupdates van Ubuntu die deze zwakke plekken dekken.

Wat doet Ubuntu over deze kwetsbaarheden, en wat moeten Ubuntu-gebruikers doen?

Dit zijn CVE-2017-5753, CVE-2017-5715 en CVE-2017-5754.


79
2018-01-04 12:53


oorsprong


Ik lees verder wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown dat alleen de kernels 4.4 en 4.13 worden gepatcht; Ik gebruik Ubuntu 16.04.3 met de kernel 4.10. Moet ik teruggaan naar 4.4? - Philippe Gaucher
Ik heb de wikipagina bijgewerkt met meer details, de 16.04 HWE-kernels rollen (en gingen in februari naar 4.13), in plaats daarvan doen we het eerder. - gQuigs
voor de gemiddelde Linux-gebruiker is dit zelfs iets waarover ik me zorgen moet maken? - flyingdrifter
Kan iemand uitgebreid ingaan op het nieuws van Intel (newsroom.intel.com/news/...) en of we moeten uitschakelen intel-microcode? - beruic


antwoorden:


Er werd ontdekt dat een nieuwe klasse aanvallen via zijkanalen invloed heeft op de meeste processors, inclusief processors van Intel, AMD en ARM. Met de aanval kunnen schadelijke gebruikersruimteprocessen het kernelgeheugen en schadelijke code in gasten lezen om hypervisorgeheugen te lezen.

Om dit probleem aan te pakken, zijn updates voor de Ubuntu-kernel en de processor-microcode nodig. Updates worden aangekondigd in Ubuntu beveiligingsmeldingen. Er zijn nu updates voor kernspoeling / spook aangekondigd, die updates bevatten voor de kernel en voor sommige gebruikersruimtesoftware.

De volgende updates zijn vrijgegeven:

  • Ubuntu-kernelupdates zijn beschikbaar in USN 3522-1 (voor Ubuntu 16.04 LTS), USN 3523-1 (voor Ubuntu 17.10), USN 3522-2 (voor Ubuntu 14.04 LTS (HWE)), en USN-3524-1 (voor Ubuntu 14.04 LTS).
  • Verdere kernelupdates (waaronder mitigaties voor zowel Spectre-varianten als aanvullende mitigaties voor meltdown) zijn op 22 januari 2018 beschikbaar gesteld in USN-3541-2 (voor Ubuntu 16.04 LTS (HWE)), USN-3540-1 (voor Ubuntu 16.04 LTS), USN-3541-1 (voor Ubuntu 17.10), USN-3540-2 (voor Ubuntu 14.04 LTS (HWE)), USN-3542-1 (voor Ubuntu 14.04 LTS), USN-3542-2 (voor Ubuntu 12.04 LTS (HWE)).
  • USN-3516-1 biedt Firefox-updates.
  • USN-3521-1 biedt updates van het NVIDIA-stuurprogramma.
  • USN-3531-1 biedt updates voor Intel-microcodes. Als gevolg van regressies zijn de microcode-updates voorlopig teruggedraaid (USN-3531-2).

Gebruikers moeten de updates onmiddellijk installeren wanneer ze worden vrijgegeven op de normale manier. Opnieuw opstarten is vereist om de kernel- en microcode-updates door te voeren.

Gebruikers kunnen Controleer of de kernelpaginatabelisolatiepatches actief zijn na het opnieuw opstarten.

Updates voor Ubuntu 17.04 (Zesty Zapus) worden niet verstrekt zoals het einde van de levensduur bereikt op 13 januari 2018.

Voordat beveiligingsupdates werden uitgebracht, had Dustin Kirkland wat meer informatie gegeven over welke updates kunnen worden verwacht in a blogpost, inclusief vermelding van kernelupdates evenals CPU-microcode-, gcc- en qemu-updates.

Kiko Reis van Canonical schreef een toegankelijke beschrijving van de impact van deze kwetsbaarheden en hun mitigaties voor Ubuntu-gebruikers op 24 januari 2018.

Het Ubuntu-beveiligingsteam is handhaven van hun huidige status op deze kwesties en een officiële technische veelgestelde vragen dat gaat in detail in op de specifieke individuele kwetsbaarheidsvarianten en hun migitities onder verschillende use-cases.


48
2018-01-05 01:44



Zelfs rekening houdend met de vroege onthulling, lijkt Canonical hier een beetje achter te staan, wat jammer is gezien de ernst. RHEL is al over 6 & 7 gepatcht, net als Windows AFAIK. Om eerlijk te zijn, lijkt het Canonical niet veel op te merken (tijdlijn zegt 9-nov-17). Ik vraag me af of dit het geval is van grote jongens die het nieuws voor zichzelf houden en alleen de concurrentie op de hoogte brengen bij de laatste mogelijke gelegenheid? - sxc731
"RHEL is al gepatched over 6 & 7 en Windows AFAIK is hetzelfde" - die patches blijkbaar regressies veroorzaken voor sommigen. Het is niet voldoende om alleen te kijken op het moment dat een update wordt uitgebracht; je moet ook naar de kwaliteit ervan kijken. Canonical besteedt meer tijd aan testen. Je hebt nu toegang tot de pre-release-pakketten als je dat wilt. - Robie Basak
Ik heb zeker Canonian niet de schuld gegeven. Gezien de uitgebreide aard van de veranderingen, is er zeker het potentieel voor niet-functionele (een gegeven in het geval van Meltdown) evenals functionele regressies. Mijn vraag was meer of het een gelijk speelveld was geweest tussen de OS-leveranciers, waar Intel de last van mitigatie op legde? - sxc731
UPDATE: Zie insights.ubuntu.com/2018/01/24/... voor het meest uitgebreide antwoord op deze vraag, en wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown voor de gedetailleerde status. - kiko
@kiko verwerkt in het antwoord - bedankt - Robie Basak


Er zijn specifieke dingen om hier in gedachten te houden, en dit wordt opgepikt van enkele van de analyse- en beveiligingsmailinglijsten waar ik mee bezig ben die verder gaan dan alleen Ubuntu:

  1. De kernsmelting aanval kan op kernelniveau worden gepatcht. Dit zal helpen beschermen tegen de Meltdown-reeks van kwetsbaarheden.

  2. De Spook aanvalsvector is veel moeilijker om tegen te beschermen, maar het is ook veel moeilijker voor slechteriken om te exploiteren. Hoewel er softwarepatches voor zijn bekend aanvalsvectoren, zoals een LLVM-aanvalsvector die kan worden gepatcht, het kernprobleem is dat om Spectre echt te repareren je moet veranderen hoe de CPU-hardware werkt en zich gedraagt. Dit maakt het veel VEEL moeilijker om tegen te beschermen, omdat alleen bekend aanvalsvectoren kunnen echt worden gepatcht. Elk stukje software heeft individuele verharding voor dit probleem nodig, wat betekent dat het een van die "één patch lost niet alle" soort deals zijn.

Nu, voor de grote vragen:

  • Zult Ubuntu patchen voor de kwetsbaarheden van Meltdown en Spectre?
    • Het antwoord is Ja, maar het is lastig om te doen, de patches druppelen in de kernel, maar de kernel en beveiligingsteams testen terwijl ze gaan en zullen waarschijnlijk onverwachte regressies zien langs de weg die ze zullen moeten patchen om onverwachte problemen op te lossen. De teams Security en Kernel zijn hier aan werken.
  • Wanneer zijn er fixes beschikbaar?

    • Ik geef je hetzelfde antwoord dat ik kreeg van het kernteam: "Als we er zeker van zijn dat de patches werken en dat we onderweg niets anders kapot maken."

      Nu, een groot ding om te overwegen: daar was een beoogde datum voor een openbare onthulling van 9 januari, die samenviel met een release van fixes. De onthulling gebeurde echter op 3 januari. Het kernelteam en het beveiligingsteam richten zich nog steeds op de datum van 9 januari, dit is echter geen vaste deadline en er kunnen vertragingen optreden als er iets belangrijks aan de kernels breekt in het proces

  • Is er ergens waar ik op zoek zou moeten zijn naar meer updates over Meltdown en Spectre?

    • Ja, eigenlijk wel.  Het Ubuntu Security-team heeft een kennisbankartikel over Spectre en Meltdown, en dat is waar u enkele statusrapporten zult opmerken over de tijdlijn voor het vrijgeven van fixes en wat niet.

      Je zou moeten ook bekijk het Ubuntu-beveiligingsteam Beveiligingsmeldingen site en let op de aankondiging dat fixes beschikbaar worden gemaakt voor de kernels.


Andere relevante links die u in de gaten moet houden:


30



@jkabrg 17.04 vermeld onder de ondersteunde lijst (https: wiki.ubuntu.com/Releases). En meer specifiek, geen ubuntu-aankondiging mailinglijst-bericht dat 17.04 zijn definitieve EOL-datum heeft bereikt, wat de vaste datum zou bepalen - Thomas Ward♦
@jkabrg Dat betekent niet dat ze patches krijgen, omdat ze zouden kunnen besluiten om een ​​patch die zo dicht bij EOL ligt niet te "vrijgeven". Ik heb gevraagd of er daadwerkelijk reliek of niet zal zijn, maar nog geen duidelijke reactie. - Thomas Ward♦
@jkabrg de gegevens op de pagina waarover u zich zorgen moet maken, is de vermelding die voor het pakket eenvoudig 'linux' heet en die momenteel als 'in behandeling' wordt vermeld. - Thomas Ward♦
@jkabrg Dat gezegd hebbende, verwacht EOL van Zesty 17.04 staat op de 25e - als een patch eerder beschikbaar wordt gesteld, kan deze beschikbaar komen. - Thomas Ward♦
Wat zijn de betekenis van de afkortingen DNE, behoeftetriage? Ik kan alleen maar 'pending' en 'released' begrijpen. - Philippe Gaucher


20 januari 2018

Spectre bescherming (Retpoline) werd op 15 januari 2018 uitgegeven door Kernel 4.9.77 en 4.14.14 door het Linux Kernel-team. Het Ubuntu Kernel-team heeft kernelversie 4.9.77 op 17 januari 2018 uitgebracht en kernelversie 4.14.14 nog niet gepubliceerd. De reden is onduidelijk waarom, maar 4.14.14 is opnieuw aangevraagd zoals beantwoord in Ask Ubuntu: Waarom werd kernel 4.9.77 vrijgegeven maar niet kernel 4.14.14? en is pas vandaag verschenen.

17 januari 2018 Ondersteuning van Spectre aan Meltdown toevoegen

Ik dacht dat sommigen geïnteresseerd zouden zijn in de veranderingen in 4.14.14 (van 4.14.13) zoals gedocumenteerd in opmerkingen van programmeurs waarvan ik denk dat ze vrij gedetailleerd zijn voor kernel C-programmeurs van mijn beperkte belichting. Hier zijn de veranderingen van 4.14.13 naar 4.14.14 kernel die zich vooral op concentreren Spook ondersteuning:

+What:  /sys/devices/system/cpu/vulnerabilities
+       /sys/devices/system/cpu/vulnerabilities/meltdown
+       /sys/devices/system/cpu/vulnerabilities/spectre_v1
+       /sys/devices/system/cpu/vulnerabilities/spectre_v2
+Date:      January 2018
+Contact:   Linux kernel mailing list <linux-kernel@vger.kernel.org>
+Description:   Information about CPU vulnerabilities
+
+       The files are named after the code names of CPU
+       vulnerabilities. The output of those files reflects the
+       state of the CPUs in the system. Possible output values:
+
+       "Not affected"    CPU is not affected by the vulnerability
+       "Vulnerable"      CPU is affected and no mitigation in effect
+       "Mitigation: $M"  CPU is affected and mitigation $M is in effect
diff --git a/Documentation/admin-guide/kernel-parameters.txt b/Documentation/admin-guide/kernel-parameters.txt
index 520fdec15bbb..8122b5f98ea1 100644
--- a/Documentation/admin-guide/kernel-parameters.txt
+++ b/Documentation/admin-guide/kernel-parameters.txt
@@ -2599,6 +2599,11 @@ 
    nosmt       [KNL,S390] Disable symmetric multithreading (SMT).
            Equivalent to smt=1.

+   nospectre_v2    [X86] Disable all mitigations for the Spectre variant 2
+           (indirect branch prediction) vulnerability. System may
+           allow data leaks with this option, which is equivalent
+           to spectre_v2=off.
+
    noxsave     [BUGS=X86] Disables x86 extended register state save
            and restore using xsave. The kernel will fallback to
            enabling legacy floating-point and sse state.
@@ -2685,8 +2690,6 @@ 
            steal time is computed, but won't influence scheduler
            behaviour

-   nopti       [X86-64] Disable kernel page table isolation
-
    nolapic     [X86-32,APIC] Do not enable or use the local APIC.

    nolapic_timer   [X86-32,APIC] Do not use the local APIC timer.
@@ -3255,11 +3258,20 @@ 
    pt.     [PARIDE]
            See Documentation/blockdev/paride.txt.

-   pti=        [X86_64]
-           Control user/kernel address space isolation:
-           on - enable
-           off - disable
-           auto - default setting
+   pti=        [X86_64] Control Page Table Isolation of user and
+           kernel address spaces.  Disabling this feature
+           removes hardening, but improves performance of
+           system calls and interrupts.
+
+           on   - unconditionally enable
+           off  - unconditionally disable
+           auto - kernel detects whether your CPU model is
+                  vulnerable to issues that PTI mitigates
+
+           Not specifying this option is equivalent to pti=auto.
+
+   nopti       [X86_64]
+           Equivalent to pti=off

    pty.legacy_count=
            [KNL] Number of legacy pty's. Overwrites compiled-in
@@ -3901,6 +3913,29 @@ 
    sonypi.*=   [HW] Sony Programmable I/O Control Device driver
            See Documentation/laptops/sonypi.txt

+   spectre_v2= [X86] Control mitigation of Spectre variant 2
+           (indirect branch speculation) vulnerability.
+
+           on   - unconditionally enable
+           off  - unconditionally disable
+           auto - kernel detects whether your CPU model is
+                  vulnerable
+
+           Selecting 'on' will, and 'auto' may, choose a
+           mitigation method at run time according to the
+           CPU, the available microcode, the setting of the
+           CONFIG_RETPOLINE configuration option, and the
+           compiler with which the kernel was built.
+
+           Specific mitigations can also be selected manually:
+
+           retpoline     - replace indirect branches
+           retpoline,generic - google's original retpoline
+           retpoline,amd     - AMD-specific minimal thunk
+
+           Not specifying this option is equivalent to
+           spectre_v2=auto.
+
    spia_io_base=   [HW,MTD]
    spia_fio_base=
    spia_pedr=
diff --git a/Documentation/x86/pti.txt b/Documentation/x86/pti.txt
new file mode 100644
index 000000000000..d11eff61fc9a
--- /dev/null
+++ b/Documentation/x86/pti.txt
@@ -0,0 +1,186 @@ 
+Overview
+========
+
+Page Table Isolation (pti, previously known as KAISER[1]) is a
+countermeasure against attacks on the shared user/kernel address
+space such as the "Meltdown" approach[2].
+
+To mitigate this class of attacks, we create an independent set of
+page tables for use only when running userspace applications.  When
+the kernel is entered via syscalls, interrupts or exceptions, the
+page tables are switched to the full "kernel" copy.  When the system
+switches back to user mode, the user copy is used again.
+
+The userspace page tables contain only a minimal amount of kernel
+data: only what is needed to enter/exit the kernel such as the
+entry/exit functions themselves and the interrupt descriptor table
+(IDT).  There are a few strictly unnecessary things that get mapped
+such as the first C function when entering an interrupt (see
+comments in pti.c).
+
+This approach helps to ensure that side-channel attacks leveraging
+the paging structures do not function when PTI is enabled.  It can be
+enabled by setting CONFIG_PAGE_TABLE_ISOLATION=y at compile time.
+Once enabled at compile-time, it can be disabled at boot with the
+'nopti' or 'pti=' kernel parameters (see kernel-parameters.txt).
+
+Page Table Management
+=====================
+
+When PTI is enabled, the kernel manages two sets of page tables.
+The first set is very similar to the single set which is present in
+kernels without PTI.  This includes a complete mapping of userspace
+that the kernel can use for things like copy_to_user().
+
+Although _complete_, the user portion of the kernel page tables is
+crippled by setting the NX bit in the top level.  This ensures
+that any missed kernel->user CR3 switch will immediately crash
+userspace upon executing its first instruction.
+
+The userspace page tables map only the kernel data needed to enter
+and exit the kernel.  This data is entirely contained in the 'struct
+cpu_entry_area' structure which is placed in the fixmap which gives
+each CPU's copy of the area a compile-time-fixed virtual address.
+
+For new userspace mappings, the kernel makes the entries in its
+page tables like normal.  The only difference is when the kernel
+makes entries in the top (PGD) level.  In addition to setting the
+entry in the main kernel PGD, a copy of the entry is made in the
+userspace page tables' PGD.
+
+This sharing at the PGD level also inherently shares all the lower
+layers of the page tables.  This leaves a single, shared set of
+userspace page tables to manage.  One PTE to lock, one set of
+accessed bits, dirty bits, etc...
+
+Overhead
+========
+
+Protection against side-channel attacks is important.  But,
+this protection comes at a cost:
+
+1. Increased Memory Use
+  a. Each process now needs an order-1 PGD instead of order-0.
+     (Consumes an additional 4k per process).
+  b. The 'cpu_entry_area' structure must be 2MB in size and 2MB
+     aligned so that it can be mapped by setting a single PMD
+     entry.  This consumes nearly 2MB of RAM once the kernel
+     is decompressed, but no space in the kernel image itself.
+
+2. Runtime Cost
+  a. CR3 manipulation to switch between the page table copies
+     must be done at interrupt, syscall, and exception entry
+     and exit (it can be skipped when the kernel is interrupted,
+     though.)  Moves to CR3 are on the order of a hundred
+     cycles, and are required at every entry and exit.
+  b. A "trampoline" must be used for SYSCALL entry.  This
+     trampoline depends on a smaller set of resources than the
+     non-PTI SYSCALL entry code, so requires mapping fewer
+     things into the userspace page tables.  The downside is
+     that stacks must be switched at entry time.
+  d. Global pages are disabled for all kernel structures not
+     mapped into both kernel and userspace page tables.  This
+     feature of the MMU allows different processes to share TLB
+     entries mapping the kernel.  Losing the feature means more
+     TLB misses after a context switch.  The actual loss of
+     performance is very small, however, never exceeding 1%.
+  d. Process Context IDentifiers (PCID) is a CPU feature that
+     allows us to skip flushing the entire TLB when switching page
+     tables by setting a special bit in CR3 when the page tables
+     are changed.  This makes switching the page tables (at context
+     switch, or kernel entry/exit) cheaper.  But, on systems with
+     PCID support, the context switch code must flush both the user
+     and kernel entries out of the TLB.  The user PCID TLB flush is
+     deferred until the exit to userspace, minimizing the cost.
+     See intel.com/sdm for the gory PCID/INVPCID details.
+  e. The userspace page tables must be populated for each new
+     process.  Even without PTI, the shared kernel mappings
+     are created by copying top-level (PGD) entries into each
+     new process.  But, with PTI, there are now *two* kernel
+     mappings: one in the kernel page tables that maps everything
+     and one for the entry/exit structures.  At fork(), we need to
+     copy both.
+  f. In addition to the fork()-time copying, there must also
+     be an update to the userspace PGD any time a set_pgd() is done
+     on a PGD used to map userspace.  This ensures that the kernel
+     and userspace copies always map the same userspace
+     memory.
+  g. On systems without PCID support, each CR3 write flushes
+     the entire TLB.  That means that each syscall, interrupt
+     or exception flushes the TLB.
+  h. INVPCID is a TLB-flushing instruction which allows flushing
+     of TLB entries for non-current PCIDs.  Some systems support
+     PCIDs, but do not support INVPCID.  On these systems, addresses
+     can only be flushed from the TLB for the current PCID.  When
+     flushing a kernel address, we need to flush all PCIDs, so a
+     single kernel address flush will require a TLB-flushing CR3
+     write upon the next use of every PCID.
+
+Possible Future Work
+====================
+1. We can be more careful about not actually writing to CR3
+   unless its value is actually changed.
+2. Allow PTI to be enabled/disabled at runtime in addition to the
+   boot-time switching.
+
+Testing
+========
+
+To test stability of PTI, the following test procedure is recommended,
+ideally doing all of these in parallel:
+
+1. Set CONFIG_DEBUG_ENTRY=y
+2. Run several copies of all of the tools/testing/selftests/x86/ tests
+   (excluding MPX and protection_keys) in a loop on multiple CPUs for
+   several minutes.  These tests frequently uncover corner cases in the
+   kernel entry code.  In general, old kernels might cause these tests
+   themselves to crash, but they should never crash the kernel.
+3. Run the 'perf' tool in a mode (top or record) that generates many
+   frequent performance monitoring non-maskable interrupts (see "NMI"
+   in /proc/interrupts).  This exercises the NMI entry/exit code which
+   is known to trigger bugs in code paths that did not expect to be
+   interrupted, including nested NMIs.  Using "-c" boosts the rate of
+   NMIs, and using two -c with separate counters encourages nested NMIs
+   and less deterministic behavior.
+
+   while true; do perf record -c 10000 -e instructions,cycles -a sleep 10; done
+
+4. Launch a KVM virtual machine.
+5. Run 32-bit binaries on systems supporting the SYSCALL instruction.
+   This has been a lightly-tested code path and needs extra scrutiny.
+
+Debugging
+=========
+
+Bugs in PTI cause a few different signatures of crashes
+that are worth noting here.
+
+ * Failures of the selftests/x86 code.  Usually a bug in one of the
+   more obscure corners of entry_64.S
+ * Crashes in early boot, especially around CPU bringup.  Bugs
+   in the trampoline code or mappings cause these.
+ * Crashes at the first interrupt.  Caused by bugs in entry_64.S,
+   like screwing up a page table switch.  Also caused by
+   incorrectly mapping the IRQ handler entry code.
+ * Crashes at the first NMI.  The NMI code is separate from main
+   interrupt handlers and can have bugs that do not affect
+   normal interrupts.  Also caused by incorrectly mapping NMI
+   code.  NMIs that interrupt the entry code must be very
+   careful and can be the cause of crashes that show up when
+   running perf.
+ * Kernel crashes at the first exit to userspace.  entry_64.S
+   bugs, or failing to map some of the exit code.
+ * Crashes at first interrupt that interrupts userspace. The paths
+   in entry_64.S that return to userspace are sometimes separate
+   from the ones that return to the kernel.
+ * Double faults: overflowing the kernel stack because of page
+   faults upon page faults.  Caused by touching non-pti-mapped
+   data in the entry code, or forgetting to switch to kernel
+   CR3 before calling into C functions which are not pti-mapped.
+ * Userspace segfaults early in boot, sometimes manifesting
+   as mount(8) failing to mount the rootfs.  These have
+   tended to be TLB invalidation issues.  Usually invalidating
+   the wrong PCID, or otherwise missing an invalidation.

Als u vragen heeft over de documentatie van de programmeurs, kunt u hieronder een opmerking plaatsen en ik zal mijn best doen om te antwoorden.

16 januari 2018 werken Spectre bij in 4.14.14 en 4.9.77

Als je al Kernel-versies 4.14.13 of 4.9.76 gebruikt, zoals ik ben, is het een goed idee om te installeren 4.14.14 en 4.9.77 wanneer ze binnen een paar dagen uitkomen om de Spectre veiligheidsopening te verkleinen. De naam van deze oplossing is Retpoline die niet beschikt over de ernstige prestatieklap eerder gespeculeerd:

Greg Kroah-Hartman heeft de laatste patches voor de Linux 4.9 verstuurd   en 4.14 puntreleases, die nu de Retpoline-ondersteuning bevatten.

Deze X86_FEATURE_RETPOLINE is ingeschakeld voor alle AMD / Intel CPU's. Voor vol   ondersteuning je moet ook de kernel bouwen met een nieuwere GCC   compiler met -mindirect-branch = thunk-externe ondersteuning. De GCC   wijzigingen zijn gisteren in GCC 8.0 geland en zijn in de maak   mogelijk teruggestuurd naar GCC 7.3.

Degenen die de Retpoline-ondersteuning willen uitschakelen, kunnen de patched opstarten   kernels met noretpoline.

Update 12 januari 2018

Oorspronkelijke bescherming tegen Spook is hier en zal in weken en maanden worden verbeterd.

Linux Kernels 4.14.13, 4.9.76 LTS en 4.4.111 LTS

Van deze Softpedia-artikel:

Linux kernels 4.14.13, 4.9.76 LTS en 4.4.111 LTS zijn nu beschikbaar   om te downloaden van kernel.org, en ze bevatten meer oplossingen tegen de   Spectre beveiligingskwetsbaarheid, evenals enkele regressies van de   Linux 4.14.12, 4.9.75 LTS en 4.4.110 LTS kernels uitgebracht vorige week,   zoals sommige kleine problemen meldden.

Deze problemen lijken nu te worden opgelost, dus het is veilig om uw   Linux-gebaseerde besturingssystemen voor de nieuwe kernelversies vrijgegeven   vandaag, waaronder meer x86-updates, sommige PA-RISC, s390 en PowerPC   (PPC) oplossingen, verschillende verbeteringen aan stuurprogramma's (Intel i915, crypto,   IOMMU, MTD) en de gebruikelijke kern- en kernwijzigingen in mm en kern.

Veel gebruikers hadden problemen met Ubuntu LTS-updates op 4 januari 2018 en 10 januari 2018. Ik heb gebruikt 4.14.13 voor een paar dagen echter zonder problemen YMMV. Ga naar de onderkant voor instructies over het installeren van Kernel 14.14.13.


7 januari 2018 update

Greg Kroah-Hartman schreef een status update op de Meltdown en Spectre Linux Kernel veiligheidslekken gisteren. Sommigen noemen hem misschien de op een na machtigste man in de Linux-wereld, pal naast Linus. Het artikel behandelt stabiele kernels (hieronder besproken) en LTS-kernels die de meerderheid van Ubuntu gebruikt.

Niet aanbevolen voor gemiddelde Ubuntu-gebruiker

Deze methode omvat het handmatig installeren van de nieuwste mainline (stabiele) kernel en wordt niet aanbevolen voor de gemiddelde Ubuntu-gebruiker. De reden dat nadat u een stabiele kernel handmatig hebt geïnstalleerd, deze daar blijft totdat u een nieuwere (of oudere) handmatig installeert. Gemiddelde Ubuntu-gebruikers staan ​​op de LTS-tak die automatisch een nieuwe kernel installeert.

Zoals anderen al hebben gezegd, is het eenvoudiger om te wachten tot het Ubuntu Kernel-team via het reguliere proces updates uitstuurt.

Dit antwoord is bedoeld voor gevorderde Ubuntu-gebruikers die willen dat het beveiligingssmortel "Meltdown" meteen wordt opgelost en bereid zijn extra handmatig werk te doen.

Linux Kernels 4.14.11, 4.9.74, 4.4.109, 3.16.52 en 3.2.97 Patch Meltdown Flaw

Van Dit artikel:

Gebruikers worden dringend verzocht hun systemen onmiddellijk bij te werken

4 januari 2018 01:42 GMT · Door Marius Nestor

Linux kernelbeheerders Greg Kroah-Hartman en Ben Hutchings hebben nieuwe versies vrijgegeven van de Linux 4.14, 4.9, 4.4, 3.16, 3.18 en 3.12 LTS (Long Term Support) kernel series die ogenschijnlijk een van de twee kritieke beveiligingsfouten bevatten die van invloed zijn op de meeste moderne processors.

De Linux 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 en 3.2.97 kernels zijn nu beschikbaar om te downloaden van de kernel.org website, en gebruikers worden aangespoord om hun GNU / Linux distributies bij te werken. naar deze nieuwe versies als ze direct een van die kernelreeksen uitvoeren. Waarom bijwerken? Omdat ze blijkbaar een kritieke kwetsbaarheid patchen genaamd Meltdown.

Zoals eerder gemeld, zijn Meltdown en Spectre twee exploits die bijna alle apparaten beïnvloeden die worden aangedreven door moderne processors (CPU's) die in de afgelopen 25 jaar zijn uitgebracht. Ja, dat betekent bijna alle mobiele telefoons en pc's. Meltdown kan worden misbruikt door een onbevoorrechte aanvaller om op kwade wijze gevoelige informatie te verkrijgen die is opgeslagen in het kernelgeheugen.

Patch for Spectre-kwetsbaarheid nog steeds in de maak

Terwijl Meltdown een ernstige kwetsbaarheid is die uw geheime gegevens, inclusief wachtwoorden en coderingssleutels, kan blootleggen, is Spectre zelfs nog erger, en het is niet gemakkelijk om het op te lossen. Beveiligingsonderzoekers zeggen dat het ons nog lang zal achtervolgen. Van Spectre is bekend dat het de speculatieve uitvoeringstechniek gebruikt die wordt gebruikt door moderne CPU's om de prestaties te optimaliseren.

Tot de Spectre-bug ook is gepatcht, wordt het ten zeerste aanbevolen dat u ten minste uw GNU / Linux-distributies bijwerkt tot een van de nieuw vrijgegeven Linux-kernelversies. Dus zoek in de software-repositories van je favoriete distro naar de nieuwe kernel-update en installeer deze zo snel mogelijk. Wacht niet tot het te laat is, doe het nu!


Ik had Kernel 4.14.10 een week lang gebruikt, dus het downloaden en booten van de Ubuntu Mainline Kernel-versie 4.14.11 was niet echt een zorg voor mij.

Ubuntu 16.04-gebruikers zijn misschien meer op hun gemak met 4.4.109 of 4.9.74 kernelversies die tegelijk met 4.14.11 werden uitgebracht.

Als uw reguliere updates de Kernel-versie die u wenst niet installeert, kunt u dit handmatig doen. Volg hiervoor het antwoord van Ubuntu: Hoe update ik de kernel naar de nieuwste hoofdversie?


4.14.12 - Wat een verschil maakt een dag

Minder dan 24 uur na mijn eerste antwoord is er een patch uitgebracht om 4.14.11-kernelversie te repareren die ze mogelijk hebben uitgevoerd. Opwaarderen naar 4.14.12 wordt aanbevolen voor alle 4.14.11-gebruikers. Greg-KH zegt:

Ik kondig de release van de 4.14.12-kernel aan.

Alle gebruikers van de 4.14 kernelserie moeten upgraden.

Er zijn een paar kleine problemen nog steeds bekend met deze release dat mensen   zijn tegengekomen. Hopelijk worden ze dit weekend opgelost, zoals de   plekken zijn niet in de boom van Linus geland.

Test voor nu, zoals altijd, je omgeving.

Als we naar deze update kijken, zijn niet veel regels broncode gewijzigd.


Kernel 4.14.13 Installatie

Meer spanningsvernieuwingsherzieningen en begin van Spectre-functies werden geïntroduceerd in Linux Kernels 4.14.13, 4.9.76 en 4.4.111.

Er zijn redenen waarom u de nieuwste mainline kernel wilt installeren:

  • Een bug in de laatste Ubuntu LTS kernel-update
  • U hebt nieuwe hardware die niet wordt ondersteund in de huidige Ubuntu LTS-kernelupdates
  • U wilt een beveiligingsupgrade of nieuwe functie die alleen beschikbaar is in de nieuwste mainline-kernelversie.

Vanaf 15 januari 2018 is de nieuwste stabiele mainline kernel 4.14.13. Als u ervoor kiest om het handmatig te installeren, moet u het volgende weten:

  • Oudere LTS-kernels zullen dat niet doen wordt bijgewerkt totdat ze groter zijn dan het eerste menupad van het hoofdmenu Ubuntu.
  • Handmatig geïnstalleerde kernels worden niet met de gebruikelijke verwijderd sudo apt auto-remove opdracht. U moet dit volgen: Hoe verwijder ik oude kernelversies om het opstartmenu op te ruimen?
  • Houd de ontwikkelingen in de oudere kernels bij wanneer u terug wilt komen op de reguliere LTS-methode voor het updaten van de kernel. Verwijder vervolgens de handmatig geïnstalleerde hoofdlijn kernel zoals beschreven in de vorige opsommingsteken-koppeling.
  • Na het handmatig verwijderen van de nieuwste mainline kernel run sudo update-grub en dan is de nieuwste LTS-kernel van Ubuntu de eerste optie die wordt genoemd Ubuntu in het hoofdmenu van Grub.

Nu de waarschuwing uit de weg is, installeer je de nieuwste mainline kernel (4.14.13) Volg deze link: Hoe kan je de kernel updaten naar de nieuwste mainline-versie zonder enige Distro-upgrade?

Mainline Kernel 4.14.13.png


1



Ik denk niet dat het verstandig is om algemene Ubuntu-gebruikers te adviseren om een ​​mainline-kernel te installeren. De mainline kernel-builds worden geproduceerd voor foutopsporingsdoeleinden en worden daarom zonder ondersteuning geleverd. Gebruik ze op eigen risico. Als u weet wat u doet, bent u bijzonder kwetsbaar voor Meltdown en Spectre en kunt u niet een paar dagen wachten op een officiële beveiligingsupdate van Ubuntu, dan kunt u het zeker doen. - Robie Basak
Het is ook belangrijk om te weten dat als u dit doet, u automatisch geen verdere beveiligingsupdates meer ontvangt. - Robie Basak
-1 omdat deze methode beveiligingsupdates krijgt. - Thomas Ward♦
Booten 4.14.11 kernel en hardlopen sudo apt list --upgradable onthult apport/xenial-updates,xenial-updates,xenial-security,xenial-security 2.20.1-0ubuntu2.15 all [upgradable from: 2.20.1-0ubuntu2.14] en een groot aantal andere pakketten. Dan rennen sudo apt upgrade installeert ze allemaal. Is er een link die iemand kan weergeven, waarbij beveiligingsupdates zijn uitgeschakeld? Ik zou graag meer willen leren. Ik ben het met Robie eens, want het gat in de beveiliging bestaat al 25 jaar en een paar dagen wachten tot het Ubuntu Kernel-team hun eigen patches toepast in plaats van Linux-kernelpatches. - WinEunuuchs2Unix
Het is niet zo dat beveiligingsupdates volledig worden uitgeschakeld. Het probleem is dat je aangepaste geïnstalleerde kernel elke volgende overschrijft pit updates uitgegeven door het Ubuntu Security-team. En je aangepaste geïnstalleerde kernel wordt ook niet automatisch bijgewerkt. - Robie Basak