"리블리드" 작업에 대한 업데이트 (2022년 12월 21일 업데이트)
Lifecycle 연장 지원 패치에도 동일하게 적용됩니다.
취약점
리블리드는 스펙터 V2와 개념적으로 유사한 하드웨어 수준의 취약점입니다. 최신 CPU에서 발견되는 예측 분기 기능을 노리는 추측 실행 공격입니다. 로컬에서 권한이 없는 사용자는 이 취약점을 악용하여 접근이 불가능한 메모리 위치에 액세스할 수 있습니다.
클라우드 가상 머신 환경 또는 멀티테넌트 하이퍼바이저는 특히 취약한데, 손상된 가상 머신 하나가 동일한 가상화 호스트의 다른 가상 머신이 사용 중인 메모리에 액세스할 수 있기 때문입니다.
이 문제와 관련된 CVE는 세 가지가 있습니다(CVE-2022-23816, CVE-2022-29901, CVE-2022-23825). 일부 권고사항은 CVE-2022-23816과 중복되는 CVE-2022-29900을 참조할 수도 있습니다.
완화 조치
인텔 CPU에 대한 기존 IBRS(간접 분기 제한 추측)는 Enterprise Linux 7 기반 배포의 문제를 완화합니다.
재부팅을 감당할 수 있는 경우, Enterprise Linux 8 기반 배포의 경우 다음을 사용하여 Spectre_v2 완화를 사용하도록 설정하세요:
SPECTRE_V2=IBRS
를 부팅 시 Kernel 매개 변수로 설정하면 인텔 CPU에서도 문제를 완화할 수 있습니다.
성능에 미치는 영향
스펙터 및 멜트다운과 같은 이전의 추측 실행 기반 취약점에 대한 완화 조치로 인해 성능에 상당한 영향이 발생했습니다, 5%에서 30%까지 시스템의 특정 워크로드 및 CPU 브랜드에 따라 5%에서 30%에 이르는 상당한 성능 영향을 초래했습니다.
안타깝게도 리블리드는 이러한 추세를 이어가고 있으며, 이에 대한 완화 조치도 성능에 심각한 영향을 미칩니다. 평균적으로 성능 비용 은 평균 14%에서 39%. 일부 시나리오에서는 성능 회귀가 70%까지로 나타나 원시 CPU 성능뿐만 아니라 I/O 바운드 작업에도 영향을 미쳤습니다(스토리지 및 네트워킹 성능 모두 저하됨).
TuxCare의 패치 작업
리블리드 패치는 두 팀 모두에서 작업 중입니다. KernelCare 엔터프라이즈 라이브 패치와 Lifecycle 연장 지원 팀에서 작업 중이며, 이는 최신 Linux 배포판뿐만 아니라 이전 배포판에도 영향을 미치기 때문입니다.
이 패치의 주요 과제는 Kernel 코드의 대부분에 영향을 미치는 패치 범위와 패치된 코드의 복잡성에서 비롯됩니다. 이미 라이브 패치 수정 작업을 진행 중이며, 이 정도 범위의 패치는 근본적인 문제를 해결할 뿐만 아니라 성능에 미치는 영향을 최소화하는 동시에 실행 중인 시스템에 예기치 않은 동작이 추가되지 않도록 하기 위해 광범위한 테스트를 진행 중입니다.
당사 제품의 최신 패치 상태를 확인하려면 다음 링크를 참조하세요:
결론
대부분의 Kernel에 대해 문제를 방지하는 완화 조치가 마련되어 있으므로 재부팅을 수행할 수 있는 경우 문제가 발생할 가능성이 있습니다. 이 문제를 악용하려면 공격자가 로컬 시스템에 액세스할 수 있어야 하므로 모든 시스템이 동일하게 위험에 노출되는 것은 아닙니다. 재부팅할 여유가 없는 시스템이 있는 경우, KernelCare 라이브 패치가 진행 중이며 곧 제공될 예정입니다.