Zombieload 2: ¡El equipo KernelCare está en ello!

Acabamos de enterarnos de un nuevo grupo de vulnerabilidades de la CPU de Intel y queremos que sepas que el equipo de KernelCare se ha puesto manos a la obra para crear parches para ellas.

Suscríbase a nuestro blog para estar al día.

Las vulnerabilidades son las siguientes.

1. CVE-2019-11135: Aborto asíncrono TSX (TAA)

Esto afecta a los chips Intel con la función Transactional Synchronization Extensions (TSX).

Es similar a las vulnerabilidades anteriores de MDS, por lo que si ha aplicado correcciones para MDS, también estará a salvo de esta vulnerabilidad.

Sin embargo, si tienes una CPU Intel más reciente con TSX activado que no está afectada por MDS, tendrás que actualizar el microcódigo de tu CPU y parchear el kernel.

ACTUALIZACIÓN DEL LUNES 18 DE NOVIEMBRE

TSA (CVE-2019-11135) se soluciona mediante la mitigación MDS en todos los núcleos compatibles con KernelCare. KernelCare aplica MDS en todas las CPU que no están en la lista blanca. Actualmente no hay CPUs afectadas por TSA en esta lista blanca, por lo que no se requieren parches adicionales de KernelCare para mitigar TSA. Recomendamos a quienes tengan CPU afectadas por TSA que actualicen al último microcódigo de CPU de su proveedor.

2. CVE-2018-12207: Error de comprobación de la máquina del procesador (MCEPSC o iTLB multihit).

La vulnerabilidad Processor Machine Check Error afecta a entornos virtualizados.

La explotación de esta vulnerabilidad puede hacer que el sistema anfitrión se cuelgue cuando se activan las tablas de páginas extendidas (EPT).

ACTUALIZACIÓN DEL LUNES 2 DE DICIEMBRE

El equipo de KernelCare ha publicado parches para Centos7, Centos7-Plus, RHEL7, OEL 7 para CVE-2018-12207 en el feed de prueba. El feed de prueba de KernelCare permite empezar a utilizar los nuevos parches antes.

Para instalar parches de la fuente de prueba, ejecute el comando:

kcarectl -prueba -actualizar

Cuando estén disponibles las actualizaciones de producción, KernelCare utilizará automáticamente la fuente habitual.

Suscríbase a nuestro blog para recibir información actualizada sobre los parches en producción.

3. CVE-2019-0155, CVE-2019-0154: hardware de gráficos i915

CVE-2019-0155 puede otorgar privilegios elevados del sistema a un usuario sin privilegios.

CVE-2019-0154 puede permitir que un usuario sin privilegios cuelgue el sistema (creando efectivamente una situación de DoS) mediante la lectura de ubicaciones de memoria específicas (registros MMIO) cuando la gestión de energía de la tarjeta gráfica pasa a un estado particular de uso mínimo de energía.

Qué estamos haciendo

Como ocurre con todas las vulnerabilidades importantes, en cuanto el equipo de supervisión de KernelCare tiene noticia de ellas, los desarrolladores y analistas comienzan el minucioso proceso de investigación, evaluación, desarrollo y codificación de parches para nuestro software de parcheo en vivo del núcleo de Linux KernelCare.

Empezaremos a entregar los primeros parches el próximo viernes 29 de noviembre. Informaremos aquí de nuestros progresos y facilitaremos instrucciones de migración y ubicaciones de los parches cuando estén listos. Suscríbase a nuestro blog para recibir actualizaciones al instante.

Obtenga una prueba GRATUITA de 7 días con soporte de KernelCare 

Más información:

• Zombieload 2: ¡El equipo KernelCare está en ello!
• Zombieload 2: ¡Los parches para CVE-2018-12207 están en la sección de pruebas!
• SWAPGS: Parches KernelCare en camino
• RIDL - Otro ataque MDS del que Live Patching le habría salvado
• QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape Vulnerability (Vulnerabilidad de fuga de kernel de huésped a host en QEMU-KVM)
• Nueva vulnerabilidad en el núcleo de Linux, parcheada por KernelCare
• SACK Pánico y Lentitud: Ya están aquí los parches KernelCare Live
• Existen parches de fallo del terminal L1 (L1TF)
• Informe sobre la vulnerabilidad de Intel DDIO 'NetCat
• Fallout - el ataque de canal lateral de MDS que no es Zombieload