Support technique
Documentation
Connexion
Nous contacter
Une mise à jour sur le travail "Retbleed" (Updated Dec 21, 2022)
Joao Correia
22 décembre 2022 - Évangéliste technique
Il en va de même pour les correctifs de l'Extended Lifecycle Support.
La vulnérabilité
Retbleed est une vulnérabilité au niveau matériel, conceptuellement similaire à Spectre V2. Il s'agit d'une attaque par exécution spéculative ciblant la fonctionnalité de branchement prédictif présente dans les processeurs modernes. Un utilisateur local non privilégié peut exploiter cette vulnérabilité pour accéder à des emplacements mémoire autrement inaccessibles.
Les environnements de machines virtuelles en nuage, ou hyperviseurs multi-tenant, sont particulièrement vulnérables, car une machine virtuelle compromise pourrait accéder à la mémoire utilisée par d'autres machines virtuelles dans le même hôte de virtualisation.
Trois CVE différents sont concernés par ce problème (CVE-2022-23816, CVE-2022-29901, CVE-2022-23825). Certains avis peuvent également faire référence à CVE-2022-29900, qui est un doublon de CVE-2022-23816.
Atténuations
L'IBRS (Indirect Branch Restricted Speculation) existant sur les CPU Intel atténue le problème pour les distributions basées sur Enterprise Linux 7.
Si vous pouvez vous permettre le redémarrage, alors, pour les distributions basées sur Enterprise Linux 8, l'activation des atténuations spectre_v2 avec :
spectre_v2=ibrs
comme paramètre du noyau au démarrage atténuera également le problème sur les processeurs Intel.
Impact sur les performances
Les mesures d'atténuation des précédentes vulnérabilités basées sur l'exécution spéculative, comme Spectre et Meltdown, ont eu un impact considérable sur les performances, allant de 5% à 30% en fonction de la charge de travail spécifique du système et de la marque de l'unité centrale.
Malheureusement, Retbleed poursuit cette tendance et les mesures d'atténuation ont également un impact important sur les performances. En moyenne, le coût des performances varie de 14% à 39%.. Dans certains scénarios, la régression des performances jusqu'à 70 %.L'impact est non seulement sur les performances brutes du processeur, mais aussi sur les opérations liées aux E/S (les performances du stockage et du réseau en pâtissent).
Le travail de TuxCare sur les correctifs
Les correctifs de retombées sont en cours d'élaboration à la fois par l'équipe de KernelCare Enterprise live patching et support étendu du cycle de vie car ils ont un impact non seulement sur les distributions Linux récentes, mais aussi sur les plus anciennes.
Les principaux défis de ce correctif proviennent de sa portée - il a un impact sur une grande majorité du code du noyau - et de la complexité du code corrigé. Nous disposons déjà de correctifs en direct et nous travaillons sur les tests approfondis qu'un correctif de cette envergure requiert pour garantir des correctifs qui non seulement corrigent le problème sous-jacent, mais qui minimisent également l'impact sur les performances tout en évitant l'ajout de comportements inattendus aux systèmes en fonctionnement.
Pour connaître l'état actuel des correctifs pour nos produits, consultez les liens suivants :
Conclusion
Il existe des mesures d'atténuation qui permettent d'éviter le problème pour la plupart des noyaux, donc si vous avez la possibilité d'effectuer un redémarrage, c'est une possibilité. Veuillez noter que, pour exploiter le problème, un attaquant doit avoir un accès local au système, de sorte que tous les systèmes ne sont pas exposés au même risque. Si vous avez des systèmes que vous ne pouvez pas vous permettre de redémarrer, les correctifs en direct de KernelCare sont en cours et seront bientôt disponibles.
