ClickCease Información actualizada sobre el trabajo "Retbleed

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Una actualización sobre el trabajo "Retbleed" (Actualizado el 21 de diciembre de 2022)

Joao Correia

22 de diciembre de 2022 - Evangelista técnico

La vulnerabilidad

Retbleed es una vulnerabilidad a nivel de hardware conceptualmente similar a Spectre V2. Se trata de un ataque de ejecución especulativa dirigido a la funcionalidad de bifurcación predictiva de las CPU modernas. Un usuario local sin privilegios puede aprovechar esta vulnerabilidad para acceder a ubicaciones de memoria que de otro modo estarían fuera de su alcance.

Los entornos de máquinas virtuales en la nube, o hipervisores multi-tenant, son especialmente vulnerables, ya que una máquina virtual comprometida podría acceder a la memoria en uso por otras máquinas virtuales en el mismo host de virtualización.

Hay tres CVE diferentes relacionados con este problema (CVE-2022-23816, CVE-2022-29901, CVE-2022-23825). Algunos avisos también pueden hacer referencia a CVE-2022-29900, que es un duplicado de CVE-2022-23816.

Mitigación

La especulación restringida de rama indirecta (IBRS) existente en las CPU Intel mitiga el problema para las distribuciones basadas en Enterprise Linux 7.

Si puede permitirse el reinicio, entonces, para las distribuciones basadas en Enterprise Linux 8, habilitar las mitigaciones spectre_v2 con:

spectre_v2=ibrs

como parámetro del kernel en el arranque también mitigará el problema en CPUs Intel.

Impacto en el rendimiento

Las mitigaciones de anteriores vulnerabilidades basadas en la ejecución especulativa, como Spectre y Meltdown, introdujeron considerables impactos en el rendimiento, que oscilan entre el 5% y el 30% dependiendo de la carga de trabajo específica del sistema y de la marca de la CPU.

Desgraciadamente, el reblandecimiento continúa esta tendencia y las medidas para mitigarlo también tienen un grave impacto en el rendimiento. Por término medio, el coste de rendimiento oscila entre el 14% y el 39%.. En algunos escenarios, la regresión del rendimiento fue del 70%.que afecta no sólo al rendimiento bruto de la CPU, sino también a las operaciones de E/S (el rendimiento del almacenamiento y la red se ven afectados).

El trabajo de TuxCare en parches

Los parches de reintroducción están siendo trabajados tanto por la KernelCare Enterprise live patching y Soporte de Ciclo de Vida Extendido ya que afecta no sólo a las distribuciones de Linux más recientes, sino también a las más antiguas.

Los principales retos de este parche proceden de su alcance -afecta a una gran mayoría del código del núcleo- y de la complejidad del código parcheado. Ya disponemos de correcciones de parches en funcionamiento y estamos trabajando en las exhaustivas pruebas que algo de este alcance requiere para garantizar parches que no sólo solucionen el problema subyacente, sino que al mismo tiempo minimicen el impacto en el rendimiento y eviten la adición de comportamientos inesperados a los sistemas en funcionamiento.

Para ver el estado actualizado de los parches para nuestros productos, consulte los siguientes enlaces:

Conclusión

Existen mitigaciones que evitarán el problema para la mayoría de los kernels, así que si tienes la capacidad de realizar un reinicio, es una posibilidad. Tenga en cuenta que, para explotar el problema, un atacante necesitaría tener acceso local al sistema, por lo que no todos los sistemas corren el mismo riesgo. Si tiene sistemas que no puede permitirse reiniciar, los parches KernelCare live están en proceso y estarán disponibles en breve.

Resumen
Información actualizada sobre el trabajo "Retbleed
Nombre del artículo
Información actualizada sobre el trabajo "Retbleed
Descripción
Retbleed es conceptualmente una vulnerabilidad a nivel de hardware. Se trata de un ataque de ejecución especulativa dirigido a la funcionalidad de bifurcación predictiva.
Autor
Nombre del editor
Tuxcare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín