Společnost Red Hat Product Security byla upozorněna na zranitelná místa, která postihují moderní mikroprocesory a operační systémy na hlavních hardwarových platformách, včetně x86 (čipové sady Intel a AMD), POWER 8, POWER 9, System z a ARM, které by mohly umožnit neoprávněný přístup k paměti. Využití má tři unikátní útočné cesty, které by mohly umožnit útočníkovi provést útok na boční kanál, aby obcházel ochranu pro čtení paměti.
Tři CVE (společná chyba zabezpečení a expozice) pro tuto záležitost jsou:
• CVE-2017-5754 (Meltdown) je nejtvrdší ze všech tří. Využívá spekulativní načítání mezipaměti k tomu, aby místnímu útočníkovi umožnil přečíst obsah paměti. Tento problém je opraven záplatou jádra.
• CVE-2017-5753 (Spectre) je v rámci rozvětvení funkce Bounds-checking exploit. Tento problém je opraven záplatou jádra.
• CVE-2017-5715 (Spectre) je nepřímý otravný útok, který může vést k úniku dat. Tento útok umožňuje virtuálnímu hostovi číst paměť z hostitelského systému. Tento problém je opraven mikrokódem spolu s aktualizací jádra a virtualizace pro hostovací i hostitelský virtualizační software.
Zranitelnosti s významným dopadem
Společnost Red Hat považuje tuto záležitost a bezpečnostní dopady za důležité. Tato chyba vyžaduje, aby útočník měl lokální přístup k postiženému systému.
Vyjádření společnosti Red Hat:
Denise Dumas, viceprezident platformy operačního systému Red Hat: „Tyto zranitelnosti mají velký dopad na IT průmyslový sektor, ovlivňují mnoho moderních mikroprocesorů a umožňují útočníkovi obejít omezení, aby získal přístup ke čtení v privilegované paměti, která by jinak byla nepřístupná. Stručně řečeno, tato zranitelná místa by mohla umožnit škodlivému hráči, aby ukradl citlivé informace z téměř jakéhokoli počítače, mobilního zařízení nebo nasazených cloudů. Důležité je, že několik vedoucích pracovníků v oblasti technologií, včetně společnosti Red Hat, spolupracovalo na vytvoření záplat, které tento problém napravily, čímž se zdůraznila hodnota průmyslové spolupráce. Je klíčové, aby lidé – od spotřebitelů až po podnikové IT organizace – uplatňovali aktualizace zabezpečení, které dostávají. Vzhledem k tomu, že tyto aktualizace zabezpečení mohou ovlivnit výkon systému, společnost Red Hat zahrnula možnost povolit je selektivně, aby lépe pochopila dopad na citlivé pracovní zatížení.“
Chris Robinson, manažer Product Security Assurance, Red Hat: „Tato zranitelná místa představují bypass pro možný vstup do omezeného přístupu, který ovlivňuje mnoho architektur CPU a mnoho operačních systémů, které tento hardware umožňují. Ve spolupráci s dalšími vedoucími pracovníky v oblasti průmyslu společnost Red Hat vyvinula aktualizace zabezpečení jádra pro produkty v našem portfoliu, které řeší tyto zranitelnosti. Spolupracujeme s našimi zákazníky a partnery, abychom tyto aktualizace zpřístupnili spolu s informacemi, které naši zákazníci potřebují k rychlému zabezpečení svých fyzických systémů, virtuálních obrazů a nasazení na kontejnerech.“
Doporučení pro uživatele a zákazníky
Podrobnější informace o zranitelnostech naleznete zde: https://access.redhat.com/security/vulnerabilities/speculativeexecution. Materiál je průběžně aktualizován.
Mají tyto zranitelnosti dopad na IT operace?
Vzhledem k hrozbě, kterou představuje zřetězení zranitelností (schopnost zneužít jednu zranitelnost nejprve využitím jiné), Red Hat důrazně navrhuje, aby uživatelé aktualizovali všechny systémy, i když nevěří, že jejich konfigurace představuje přímou hrozbu.
Jsou ovlivněny i kontejnery?
Každý linuxový kontejner obsahuje základní vrstvu Linuxu. Aby tyto kontejnery byly používány ve výrobním prostředí, je důležité, aby tento obsah neobsahoval známá zranitelná místa. Pokud obsahuje kontejner jádro, součásti virtualizace nebo další součásti uvedené níže, měly by být aktualizovány. Po aktualizaci neexistují žádné související akce týkající se konkrétních kontejnerů, které je třeba provést, pokud nemá kontejner závislé balíčky nebo jejich součástí. Budou aktualizovány následující soubory: kernel, kernel-rt, kernel-headers, dracut, libvirt, qemu-kvm-rhev, microcode_clt, and linux_firmware.