ClickCease Ein aktueller Stand der "Retbleed"-Arbeit

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Eine Aktualisierung der "Retbleed"-Arbeit (Aktualisiert 21. Dezember 2022)

Joao Correia

Dezember 22, 2022 - Technischer Evangelist

Die Verwundbarkeit

Retbleed ist eine Sicherheitslücke auf Hardwareebene, die konzeptionell mit Spectre V2 vergleichbar ist. Es handelt sich um einen spekulativen Ausführungsangriff, der auf prädiktive Verzweigungsfunktionen in modernen CPUs abzielt. Ein lokaler, unprivilegierter Benutzer kann diese Schwachstelle ausnutzen, um auf sonst unerreichbare Speicherbereiche zuzugreifen.

Umgebungen mit virtuellen Cloud-Maschinen oder mandantenfähigen Hypervisoren sind besonders anfällig, da eine kompromittierte virtuelle Maschine auf Speicher zugreifen kann, der von anderen virtuellen Maschinen auf demselben Virtualisierungshost verwendet wird.

Es gibt drei verschiedene CVEs, die für dieses Problem relevant sind (CVE-2022-23816, CVE-2022-29901, CVE-2022-23825). Einige Empfehlungen können sich auch auf CVE-2022-29900 beziehen, das ein Duplikat von CVE-2022-23816 ist.

Abhilfemaßnahmen

Die vorhandene Indirect Branch Restricted Speculation (IBRS) auf Intel-CPUs entschärft das Problem für Enterprise Linux 7-basierte Distributionen.

Wenn Sie sich den Neustart leisten können, dann sollten Sie bei Enterprise Linux 8-basierten Distributionen die spectre_v2-Abschwächungen mit aktivieren:

spektrum_v2=ibrs

als Kernel-Parameter beim Booten wird das Problem auf Intel-CPUs ebenfalls entschärfen.

Auswirkungen auf die Leistung

Abhilfemaßnahmen für frühere, auf spekulativer Ausführung basierende Schwachstellen wie Spectre und Meltdown führten zu erheblichen Leistungseinbußen, die zwischen 5 % und 30 % liegen je nach der spezifischen Arbeitslast des Systems und der Marke der CPU.

Retbleed setzt diesen Trend leider fort, und auch die Abhilfemaßnahmen haben gravierende Auswirkungen auf die Leistung. Im Durchschnitt liegen die Leistungskosten zwischen 14 % und 39 %. In einigen Szenarien betrug der Leistungsrückgang bis zu 70%und wirkt sich nicht nur auf die reine CPU-Leistung aus, sondern auch auf E/A-gebundene Vorgänge (Speicher- und Netzwerkleistung leiden).

Die Arbeit von TuxCare an Pflastern

An Retbleed-Patches wird sowohl von der KernelCare Enterprise Live-Patching und Erweiterter Lebenszyklus-Support Teams, da nicht nur aktuelle Linux-Distributionen, sondern auch ältere betroffen sind.

Die größten Herausforderungen bei diesem Patch liegen im Umfang - er betrifft einen Großteil des Kernel-Codes - und in der Komplexität des gepatchten Codes. Wir arbeiten bereits an Live-Patching-Fixes und an den umfangreichen Tests, die bei einem Patch dieses Umfangs erforderlich sind, um sicherzustellen, dass die Patches nicht nur das zugrunde liegende Problem beheben, sondern auch die Auswirkungen auf die Leistung minimieren und gleichzeitig das Hinzufügen von unerwarteten Verhaltensweisen zu laufenden Systemen vermeiden.

Den aktuellen Stand der Patches für unsere Produkte finden Sie unter den folgenden Links:

Schlussfolgerung

Es gibt Abhilfemaßnahmen, die das Problem für die meisten Kernel verhindern, wenn Sie also die Möglichkeit haben, einen Neustart durchzuführen, ist dies eine Möglichkeit. Bitte beachten Sie, dass ein Angreifer, um das Problem auszunutzen, lokalen Systemzugriff haben muss, so dass nicht alle Systeme gleichermaßen gefährdet sind. Wenn Sie Systeme haben, die Sie nicht neu starten können, sind KernelCare Live-Patches in Arbeit und werden bald verfügbar sein.

Zusammenfassung
Ein aktueller Stand der "Retbleed"-Arbeit
Artikel Name
Ein aktueller Stand der "Retbleed"-Arbeit
Beschreibung
Retbleed ist konzeptionell eine Sicherheitslücke auf Hardware-Ebene. Es handelt sich um einen spekulativen Ausführungsangriff, der auf prädiktive Verzweigungsfunktionen abzielt.
Autor
Name des Herausgebers
Tuxcare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter