FERRAMENTAS LINUX: O Linux foi corrigido para as novas vulnerabilidades Intel "MMIO Stale Data"

quarta-feira, 15 de junho de 2022

O Linux foi corrigido para as novas vulnerabilidades Intel "MMIO Stale Data"

 

Confira !!

Além do ataque de side channel de dimensionamento de frequência Hertzbleed ser divulgado ontem como parte do "Patch Tuesday" e afetar  as CPUs Intel e AMD, a Intel também está divulgando um conjunto de vulnerabilidades "MMIO Stale Data". O kernel do Linux já foi corrigido para essas novas vulnerabilidades que afetam várias gerações de CPUs Intel, desde Rocket Lake até Haswell X e Skylake.

A Intel emitiu um aviso de segurança sobre vulnerabilidades de segurança em seu manuseio de E/S mapeada em memória (MMIO) para Intel CPus que podem levar à divulgação de informações. A Intel está lançando firmware/microcódigo atualizado e também tratamento de mitigação no kernel Linux. Existem quatro CVEs separados para essas vulnerabilidades de dados obsoletos do MMIO que pertencem à divulgação potencial de informações por meio de acesso local. A Intel recomenda o software SGX atualizado para Linux e Windows. Há também um novo firmware sendo lançado e mesclado no momento do embargo, onde os patches do kernel do Linux para essas vulnerabilidades.

Esta nova documentação do kernel descreve ainda mais o problema. Haswell X e Skylake to Rocket Lake são impactados com pelo menos alguns passos, algumas CPUs Xeon são afetadas apenas por algumas das vulnerabilidades, etc., conforme descrito na documentação.


A mitigação para essas vulnerabilidades de dados obsoletos do MMIO é forçar a CPU a limpar os buffers afetados antes que um invasor possa extrair os segredos. Com o microcódigo da CPU atualizado, o microcódigo limpará os buffers da CPU quando a instrução "VERW" for chamada. Essas limpezas de buffer estão acontecendo no retorno ao espaço do usuário, antes das transições do estado C e dos pontos de entrada do convidado (VMENTER). Esse tratamento de mitigação se sobrepõe amplamente ao tratamento anterior de mitigação de MDS/TAA.

O status de mitigação em compilações de kernel Linux corrigidas será exposto em /sys/devices/system/cpu/vulnerabilities/mmio_stale_data . A mudança do kernel também introduz um novo mmio_stale_data=parâmetro do kernel que pode ser usado para forçar a mitigação, fornecendo mitigação completa ou mitigação completa com SMT/HT desabilitado para CPUs Intel afetadas como a mitigação "completa".

Veja esta mesclagem para a mitigação do lado do kernel do Linux para as vulnerabilidades do MMIO Stale Data, que é separada da divulgação do Hertzbleed .






Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário