Les correctifs de KernelCare contre la vulnérabilité Spectre sont en route
Le 9 juin, Anthony Steinhauser, ingénieur chez Google, a publié des messages urgents sur la liste de diffusion du noyau Linux. Il y soulignait que des bogues matériels dans les puces Intel et AMD rendent les serveurs vulnérables aux exploits de Spectre, même après que le noyau ait été corrigé. Heureusement, un correctif pour ce problème est en cours de développement par l'équipe KernelCare. Les premiers correctifs seront disponibles à la fin de la semaine du 22 juin.
Les failles des puces laissent les serveurs exposés
Les vulnérabilités de Spectre exposent les serveurs à des attaques par exécution spéculative. Il s'agit d'attaques qui font que les serveurs effectuent des opérations inutiles qui exposent des données confidentielles, puis les divulguent par un canal latéral non protégé. M. Steinhauser a fait remarquer que les failles logiques des processeurs x86 d'Intel et d'AMD rendent les correctifs Spectre actuels inefficaces contre ce type d'attaques.
Pour se protéger contre ces attaques, écrit-il, les fabricants ont optimisé leur défense SSBD (Speculative Store Bypass Disable). Ils ont opté pour cette défense car elle était moins coûteuse que l'alternative, une opération d'écriture dans un registre spécifique au modèle (MSR). Leur décision est devenue problématique car la faille logique de leurs puces permet d'utiliser l'optimisation SSBD pour désactiver le SSBD lui-même.
Un problème connexe signalé par Steinhauser est qu'une autre défense de Spectre, la barrière de prédiction de branche indirecte (IBPB), peut être désactivée de force par Linux dans certaines situations. Il a également écrit que les paramètres utilisés pour éviter ces situations ne fonctionnent pas :
"Actuellement, il est possible d'activer la spéculation sur les branches indirectes même après qu'elle ait été désactivée de force à l'aide de l'option PR_SPEC_FORCE_DISABLE. De plus, la commande PR_GET_SPECULATION_CTRL donne ensuite un résultat incorrect (force-disabled alors qu'elle est en fait activée)."
Les corrections sont en cours
L'équipe des opérations de KernelCare travaille actuellement sur un nouveau correctif qui corrigera ces bogues matériels. Ils connaissent bien les vulnérabilités de Spectre et écrivent leur propre code de correctif en fonction de leurs recherches sur ce que Steinhauser a découvert.
Une fois que l'équipe a écrit un code de correction qu'elle considère efficace, elle reproduit les exploits SSBD et IBPB, puis teste le code pour s'assurer qu'il les protège. Une fois qu'elle est sûre que le code résout ces problèmes de sécurité sans causer de problèmes propres, l'équipe le téléchargera sur les serveurs de correctifs KernelCare et le distribuera aux clients.
Le nouveau patch devrait être prêt à la fin de la semaine du 22 juin.
Si vous avez des questions supplémentaires sur la façon dont KernelCare protège les serveurs contre ces vulnérabilités matérielles, n'hésitez pas à contacter l'équipe KernelCare.