FERRAMENTAS LINUX: O DragonFlyBSD termina a atenuação de Spectre para corrigir um CVE-2018-8897 Misterioso

quarta-feira, 9 de maio de 2018

O DragonFlyBSD termina a atenuação de Spectre para corrigir um CVE-2018-8897 Misterioso




Confira!!




O desenvolvedor líder do DragonFlyBSD, Matthew Dillon, acaba de lançar o código de mitigação de Spectres do DragonFly, bem como consertar o "CVE-2018-8897", que é o que poderia ser a recente vulnerabilidade de "Spectre-NG".

Matthew Dillon foi muito rápido em ser o primeiro grande usuário do BSD a lançar patches para o Specter e o Meltdown em janeiro, superando os outros BSDs por um tempo significativo para ser mitigado por essas vulnerabilidades do CPU.

Hoje ele extraiu o resto do seu código de atenuação de Spectre. O restante deste trabalho inclui suporte a Specter para CPUs da AMD, ajustes no processamento da CPU Intel, habilitando o IBRS e o STIBP automaticamente ativados por padrão para CPUs afetadas, e alterações na machdep.spectre_mitigationsysctl. O DragonFlyBSD não está habilitando o IBPB por padrão devido à sobrecarga significativa de desempenho.

Ele também implementou algumas otimizações de kernel , ajudando a compensar parte da sobrecarga das técnicas de mitigação Specter / Meltdown.

Como parte dessa série de commits de espectros, Matthew Dillon também conseguiu uma correção para o CVE-2018-8897 para o que ele resume como um problema de registro de depuração em CPUs Intel / AMD e " Corrigir dando #DB sua pilha de trampolim e uma maneira para carregar um determinístico% gs e% cr3 independente da verificação normal do CS. Isto é CVE-2018-8897. "

O CVE-2018-8897 ainda não é público e, dado que fazia parte dessa outra atividade do Specter, ficamos imaginando se isso é parte do que recentemente foi chamado de "Spectre-NG" para uma nova classe de vulnerabilidades de CPU. O patch em questão credita a Microsoft a coordenar a resposta do fornecedor (também conhecido por não ser um problema de segurança do kernel do FreeBSD) e que o repórter original desse problema de CPU era uma Everdox Tech LLC. Mas além disso, não consegui descobrir muito ainda sobre este último CVE; Ainda não há referências ao CVE-2018-8897 pelo kernel do Linux, nem qualquer outra informação relevante que eu tenha encontrado ainda.

Atualização: O embargo em torno do CVE-2018-8897 foi suspenso. Detalhes via Mitre e oss-sec. Não tem relação com o Specter / Specter-NG, mas pode causar a queda do kernel. Felizmente, o problema já está resolvido em versões recentes do kernel Linux principal.


Fonte

Até a próxima!!






Nenhum comentário:

Postar um comentário