Una actualización sobre el trabajo "Retbleed" (Actualizado el 21 de diciembre de 2022)
Lo mismo se aplica a los parches de asistencia ampliada.
La vulnerabilidad
Retbleed es una vulnerabilidad a nivel de hardware conceptualmente similar a Spectre V2. Se trata de un ataque de ejecución especulativa dirigido a la funcionalidad de bifurcación predictiva de las CPU modernas. Un usuario local sin privilegios puede aprovechar esta vulnerabilidad para acceder a ubicaciones de memoria que de otro modo estarían fuera de su alcance.
Los entornos de máquinas virtuales en la nube, o hipervisores multi-tenant, son especialmente vulnerables, ya que una máquina virtual comprometida podría acceder a la memoria en uso por otras máquinas virtuales en el mismo host de virtualización.
Hay tres CVE diferentes relacionados con este problema (CVE-2022-23816, CVE-2022-29901, CVE-2022-23825). Algunos avisos también pueden hacer referencia a CVE-2022-29900, que es un duplicado de CVE-2022-23816.
Mitigación
La especulación restringida de rama indirecta (IBRS) existente en las CPU Intel mitiga el problema para las distribuciones basadas en Enterprise Linux 7.
Si puede permitirse el reinicio, entonces, para las distribuciones basadas en Enterprise Linux 8, habilitar las mitigaciones spectre_v2 con:
spectre_v2=ibrs
como parámetro del kernel en el arranque también mitigará el problema en CPUs Intel.
Impacto en el rendimiento
Las mitigaciones de anteriores vulnerabilidades basadas en la ejecución especulativa, como Spectre y Meltdown, introdujeron considerables impactos en el rendimiento, que oscilan entre el 5% y el 30% dependiendo de la carga de trabajo específica del sistema y de la marca de la CPU.
Desgraciadamente, el reblandecimiento continúa esta tendencia y las medidas para mitigarlo también tienen un grave impacto en el rendimiento. Por término medio, el coste de rendimiento oscila entre el 14% y el 39%.. En algunos escenarios, la regresión del rendimiento fue del 70%.que afecta no sólo al rendimiento bruto de la CPU, sino también a las operaciones de E/S (el rendimiento del almacenamiento y la red se ven afectados).
El trabajo de TuxCare en parches
Los parches de reintroducción están siendo trabajados tanto por la KernelCare Enterprise live patching y Soporte de Ciclo de Vida Extendido ya que afecta no sólo a las distribuciones de Linux más recientes, sino también a las más antiguas.
Los principales retos de este parche proceden de su alcance -afecta a una gran mayoría del código del núcleo- y de la complejidad del código parcheado. Ya disponemos de correcciones de parches en funcionamiento y estamos trabajando en las exhaustivas pruebas que algo de este alcance requiere para garantizar parches que no sólo solucionen el problema subyacente, sino que al mismo tiempo minimicen el impacto en el rendimiento y eviten la adición de comportamientos inesperados a los sistemas en funcionamiento.
Para ver el estado actualizado de los parches para nuestros productos, consulte los siguientes enlaces:
Conclusión
Existen mitigaciones que evitarán el problema para la mayoría de los kernels, así que si tienes la capacidad de realizar un reinicio, es una posibilidad. Tenga en cuenta que, para explotar el problema, un atacante necesitaría tener acceso local al sistema, por lo que no todos los sistemas corren el mismo riesgo. Si tiene sistemas que no puede permitirse reiniciar, los parches KernelCare live están en proceso y estarán disponibles en breve.