ClickCease SRBDS/CrossTalk(CVE-2020-0543) KernelCare에서 패치 중인 취약점 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

SRBDS/CrossTalk(CVE-2020-0543) KernelCare에서 패치 중인 취약점

2020년 6월 10일 TuxCare 홍보팀

CVE-2020-0543-(SRBDS)

 

2020년 6월에 SRBDS/CrossTalk로 알려진 새로운 CPU 취약점이 발견되었습니다. KernelCare 팀은 현재 이 취약점을 해결하기 위한 패치를 만들고 있습니다. 이 새로운 취약점을 살펴보고 이를 제거하기 위해 무엇을 하고 있는지 알아보겠습니다. 

콘텐츠:

  1. 실시간 업데이트
  2. 크로스토크란 무엇인가요(CVE-2020-0543)
  3. 재부팅하지 않고 크로스토크 취약점을 완화하는 방법은 무엇인가요?
    1. 하드웨어에서 실행하는 경우
      1. 1단계: 재부팅 없이 마이크로코드 업데이트하기
      2. 2단계: KernelCare 패치 적용하기
    2. 가상 머신에서 실행 중인 경우

실시간 업데이트:

6월 15일: 다음에 대한 패치 SRBDS/CrossTalk(CVE-2020-0543)에 대한 패치를 사용할 수 있습니다.
  • CentOS 6,
  • CentOS 6 Plus,
  • CentOS 7 Plus,
  • OpenVZ 6,
  • RHEL 6,
  • RHEL 7,
  • CloudLinux 6,
  • CloudLinux 6 하이브리드,
  • OEL 6,
  • Scientific Linux 6.
6월 18일: SRBDS/CrossTalk(CVE-2020-0543)에 대한 패치는 다음과 같은 용도로 제공됩니다.
  • Debian 9,
  • CentOS8 ,
  • CloudLinux OS 8,
  • OEL8,
  • RHEL8 배포.
6월 19일: SRBDS/CrossTalk(CVE-2020-0543)에 대한 패치는 다음과 같은 용도로 제공됩니다.
  • CentOS7,
  • CloudLinux OS 7 배포.
6월 22일: SRBDS/CrossTalk(CVE-2020-0543)에 대한 패치는 다음과 같은 용도로 제공됩니다.
  • Ubuntu Bionic,
  • Ubuntu 제니얼,
  • Ubuntu B아이오닉 AWS,
  • Ubuntu Xenial LTS Bionic,
  • Ubuntu Xenial LTS Bionic AWS,
  • Ubuntu Xenial LTS Bionic Azure,
  • Ubuntu Xenial LTS Bionic GCP 배포판.
  • Ubuntu 트러스티 LTS 제니얼
  • Ubuntu 트러스티 LTS 제니얼 AWS
  • Ubuntu 제니얼 AWS
  • Ubuntu 제니얼 FIPS
6월 23일: SRBDS/CrossTalk(CVE-2020-0543)에 대한 패치는 다음과 같은 용도로 제공됩니다.
  • Oracle Linux 6 UEK 4
  • Oracle Linux 7 UEK 4
  • Oracle Linux 7 UEK5
  • Amazon Linux 1 & 2

크로스토크란 무엇인가요?

 

MDS 취약점과 유사하게, 크로스토크는 한 CPU 코어에서 실행된 악성 코드가 다른 코어에서 실행된 소프트웨어의 데이터를 유출할 수 있도록 합니다. 이 취약점은 CPU의 난수 생성기를 손상시켜 공유 버퍼를 재사용하기 전에 덮어쓸 수 있도록 합니다.

 

크로스토크는 암스테르담 자유대학의 시스템 및 네트워크 보안 그룹인 VUSec에 의해 발견되었습니다. 이 취약점은 RDRAND 및/또는 RDSEED 난수 생성기를 사용하는 인텔 프로세서에 영향을 미치며, CVE 지정명은 CVE-2020-0543입니다.

 

인텔은 이 취약점을 '특수 레지스터 버퍼 데이터 샘플링'의 줄임말인 SRBDS라고 부르지만, 기술 업계에서는 크로스토크(CrossTalk)로 널리 알려져 있습니다. 

 

재부팅하지 않고 크로스토크 취약점을 완화하는 방법은 무엇인가요?

 

1) 하드웨어에서 실행하는 경우:

이 취약점을 완화하려면 아래 지침을 따르는 경우 재부팅 없음 2단계가 필요합니다:

 

1단계: 재부팅 없이 마이크로코드 업데이트

마이크로코드는 CPU 자체 내부에서 실행되는 코드로 인텔에서 처리합니다. 이 절차는 일반적으로 재부팅 시 수행됩니다. 새 Kernel을 받으면 새 마이크로코드가 포함되며, Kernel이 부팅되면 새 마이크로코드가 CPU에 설치됩니다.

재부팅 없이 마이크로코드 업데이트 여기 지침에 따라 또는 동영상 튜토리얼을 시청하세요:

 

2단계: KernelCare 패치 적용하기

이제 로컬 사용자가 CPU에서 실행 중인 데이터를 읽을 수 없도록 Linux Kernel을 업데이트해야 합니다. KernelCare를 사용하면 재부팅하지 않고도 이 작업을 수행할 수 있습니다. 30일 무료 평가판.

 

 

2) 가상 머신에서 실행하는 경우:

가상 머신 내부의 Linux Kernel만 패치하면 됩니다. 호스트 노드도 업데이트되었는지 확인해야 하며, 이는 일반적으로 서비스 제공업체에서 수행합니다.

KernelCare를 사용 중인 경우 - KernelCare에서 패치를 자동으로 제공하므로 추가 작업을 수행할 필요가 없습니다. 그렇지 않은 경우 - 지금이 바로 30일 무료 체험판.

 

이번 주 후반에 더 많은 패치가 추가될 예정입니다. 패치가 언제 제공되는지 바로 확인하려면 이 블로그 또는 트위터Facebook 채널에서 확인하세요.

 

계속 읽기: Virtuozzo에서 발견한 새로운 CVE, KernelCare에 의해 라이브 패치됨

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기