ClickCease Zombieload - Une CVE critique pour Linux affecte presque tous les processeurs Intel - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Zombieload - Une CVE critique pour Linux affecte presque tous les processeurs Intel

10 juin 2019 - L'équipe de relations publiques de TuxCare

Le MDS critique affecte presque tous les CPU d'Intel
Contenu

  1. Qu'est-ce que la vulnérabilité Zombieload ?
  2. Qu'est-ce que l'attaque MDS ?
  3. Quels processeurs sont affectés par Zombieload ?
  4. Comment atténuer la vulnérabilité de MDS/Zombieload ?
  5. Calendrier de publication des correctifs de la vulnérabilité MDS/Zombieload

 

Qu'est-ce que la vulnérabilité Zombieload ?

Les vulnérabilités de Linux deviennent comme des célébrités, avec des noms bizarres et leurs propres sites web.

Les dernières en date sont Zombieload, RIDL et Fallout, également connues sous le nom de Microarchitectural Data Sampling(MDS en abrégé), découvertes par Intel et étudiées par des départements universitaires d'institutions axées sur la sécurité dans le monde entier. Ces vulnérabilités sont de la même veine que Spectre et Meltdown, étant des défauts de conception qui révèlent des données. Zombieload est particulièrement inquiétante car elle affecte tous les processeurs Intel Core et Xeon fabriqués depuis 2011.

 

Qu'est-ce que l'attaque MDS ?

L'attaque MDS (Microarchitectural Data Sampling ) est un type d'attaque qui peut révéler des données privées en brisant les frontières de confidentialité entre les applications.

Regardez la vidéo d'Igor Seletskiy concernant MDS ci-dessous, ou faites défiler vers le bas pour obtenir des instructions sur la manière d'atténuer la vulnérabilité MDS/Zombieload sans avoir à redémarrer.

 

{% video_player "embed_player" overrideable=False, type='scriptV4′, hide_playlist=True, viral_sharing=False, embed_button=False, autoplay=False, hidden_controls=False, loop=False, muted=False, full_width=False, width='2116′, height='1076′, player_id='10326507854′, style=" %}

 

Il existe quatre enregistrements de vulnérabilité distincts qui se combinent pour rendre possible un exploit Zombieload : CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Regardez les codes et vous verrez que trois ont été enregistrés l'année dernière. Le problème a été gardé secret, une pratique connue sous le nom de divulgation coordonnée, afin d'empêcher les "mauvais acteurs" d'exploiter les vulnérabilités avant que le reste d'entre nous puisse se défendre contre elles. Microsoft, Amazon AWS et Google ont tous atténué le problème dans leurs centres de données, faisant partie du "cercle restreint" des entreprises bénéficiant d'une notification préalable de tels problèmes. Tous les autres doivent attendre une mise à jour de leur fournisseur de système d'exploitation.

 

Quels processeurs sont affectés par Zombieload ?

Les chercheurs à l'origine de ZombieLoad : Cross-Privilege-Boundary Data Sampling ont testé plusieurs processeurs Intel et ont découvert qu'au moins les processeurs suivants sont vulnérables à Zombieload et au reste du paquet de vulnérabilités MDS :

CPU (Stepping) µ-arch.
Core i7-3630QM (E1) Ivy Bridge
Lab Core i7-6700K (R0) Skylake-S
Lab Core i5-7300U (H0) Lac Kaby
Lab Core i7-7700 (B0) Lac Kaby
Lab Core i7-8650U (Y0) Kaby Lake-R
Lab Core i7-8565U (W0) Whiskey Lake
Lab Core i7-8700K (U0) Lac du café-S
Lab Core i9-9900K (P0) Coffee Lake-R
Lab Xeon E5-1630 v4 (R0) Broadwell-EP
Cloud Xeon E5-2670 (C2) Sandy Bridge-EP
Cloud Xeon Gold 5120 (M0) Skylake-SP
Cloud Xeon Platinum 8175M (H0) Skylake-SP
Cloud Xeon Gold 5218 (B1) Cloud Xeon Gold 5218 (B1)

 

 

Comment atténuer la vulnérabilité de MDS/Zombieload ?

Si vous travaillez sur du matériel :

Pour atténuer cette vulnérabilité, vous devrez prendre 3 mesures qui ne nécessitent aucun redémarrage si vous suivez les instructions ci-dessous :

Etape 1 : Mise à jour du microcode sans redémarrage

Le microcode est le code qui s'exécute à l'intérieur du CPU lui-même et qui est géré par Intel. La mise à jour du microcode est généralement effectuée au redémarrage : vous obtenez le nouveau noyau, il aura un nouveau microcode et lorsque le noyau démarre, il installera le nouveau microcode dans le CPU. Vous pouvez mettre à jour le microcode sans redémarrage en utilisant nos instructions.

Étape 2 : Désactiver l'Hyperthreading sans redémarrer l'ordinateur

Si vous ne désactivez pas le multithreading simultané (SMT) du CPU, vous aurez toujours le problème qu'un attaquant peut lire les données du même CPU. Avec KernelCare, vous pouvez désactiver l'Hyperthreading sans redémarrage en utilisant nos instructions.

Étape 3 : Appliquer les correctifs de KernelCare

Même si vous avez effectué les étapes 1 et 2, vous devez toujours mettre à jour le noyau Linux pour vous assurer que l'utilisateur local ne peut pas lire les données que vous exécutez sur le CPU. Avec KernelCare, vous pouvez le faire sans redémarrer. Inscrivez-vous pour obtenir la version gratuite de 7-jours d'essai gratuit.

Si vous travaillez sur une machine virtuelle :

Il suffit de mettre à jour le noyau Linux à l'intérieur de la VM. Assurez-vous que votre nœud hôte est également mis à jour, ce qui est généralement fait par votre fournisseur de services.

Si vous utilisez votre KernelCare - vos correctifs seront livrés automatiquement par KernelCare et vous n'avez rien à faire de plus. Si ce n'est pas le cas, c'est le bon moment pour de vous inscrire à l'abonnement gratuit de 7-jours d'essai gratuit.

 

KernelCare a commencé à tester les correctifs en direct pour MDS le vendredi 17 mai, et ils sont maintenant déployés pour toutes les distributions principales, d'autres suivront bientôt. Pour les dernières nouvelles, suivez-nous sur @KernelCare.

Obtenez un essai GRATUIT de 7 jours avec assistance de KernelCare 

 

 

Calendrier de publication des correctifs de la vulnérabilité MDS/Zombieload

Mis à jour le lundi 10 juin

Le calendrier de publication des correctifs de KernelCare est indiqué ci-dessous. Les calendriers de publication sont susceptibles d'être modifiés. Consultez régulièrement cette page ou contactez notre service d'assistance.

Libéré à la production:

  • CentOS 6
  • CentOSPlus pour CentOS 6
  • CloudLinux OS 6
  • Debian 8
  • Debian 9
  • Ubuntu 14.04 LTS (Trusty Tahr)
  • Ubuntu 16.04 LTS (Xenial Xerus)
  • Ubuntu 18.04 LTS (Castor bionique)
  • Oracle Enterprise Linux 6
  • Oracle Enterprise Linux 7
  • Oracle UEK 3
  • Oracle UEK 4
  • Oracle UEK 5
  • OpenVZ
  • Proxmox VE
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Amazon Linux 1
  • Amazon Linux 2

Les correctifs provenant du flux de production seront appliqués automatiquement.

Relâché sur l'alimentation de test:

  • CentOS 7
  • CentOSPlus pour CentOS 7
  • Cloud Linux 6 hybride

Pour installer des correctifs à partir du flux de test, exécutez la commande :

kcarectl --test --update

Lorsque les mises à jour de production sont disponibles, KernelCare utilise automatiquement le flux régulier.

A rendre semaine 24 :

  • CentOS 7
  • CentOSPlus pour CentOS 7
  • CloudLinux OS 7
  • Oracle Enterprise Linux

En savoir plus sur la façon dont KernelCare traite d'autres vulnérabilités critiques :

  1. Zombieload 2 : L'équipe KernelCare s'en occupe !
  2. SWAPGS : Les correctifs KernelCare sont en route
  3. Panique et lenteur de SACK : Les correctifs KernelCare Live sont arrivés
  4. RIDL - Une autre attaque MDS dont le correctif en direct vous aurait épargné.
  5. Fallout - l'attaque du canal secondaire du MDS qui n'est pas Zombieload
  6. Vulnérabilité de QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape Vulnérable
  7. Correctifs CVE-2018-1000199
  8. Vulnérabilité DDIO 'NetCat' d'Intel

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information