Meltdown και Spectre: Όταν μια ολόκληρη Red Hat κάνει πίσω…


H Red Hat κυκλοφόρησε ενημερώσεις που επαναφέρουν τα προηγούμενα patches επιδιόρθωσης της ευπάθειας Spectre (Variant 2, γνωστή και ως CVE-2017-5715), όταν οι πελάτες της εταιρείας ανέφεραν ότι ορισμένα συστήματα αποτυγχάνουν να εκκινήσουν.

“Η Red Hat δεν παρέχει πλέον μικροκώδικα για να αντιμετωπίσει το Specter, στην παραλλαγή 2, εξαιτίας των αστάθμητων παραγόντων που έχουν δημιουργηθεί και προκαλούν δυσκολίες στην εκκίνηση συστημάτων των πελατών μας”, ανέφερε η εταιρεία.

Αντί για τις ενημερώσεις λοιπόν, η Red Hat συστήνει σε κάθε πελάτη της να επικοινωνήσει με τον πάροχο hardware OEM για να επιδιορθώσει την ευπάθεια CVE-2017-5715 ανά σύστημα.Red Hat

Εκτός από τη διανομή Red Hat Enterprise Linux, και άλλες διανομές με βάση το RHEL, όπως το CentOS και το Scientific Linux, θα επηρεαστούν από την απόφαση της Red Hat να επαναφέρει τις προηγούμενες ενημερώσεις για το Specter Variant 2. Έτσι όλοι όσοι χρησιμοποιούν RHEL και forks της διανομής θα πρέπει επίσης να επικοινωνήσουν με τους πωλητές CPU/OEM.

Να υπενθυμίσουμε ότι ο CVE-2017-5715 είναι ο αναγνωριστικός αριθμός για ένα από τα τρία σφάλματα γνωστά σαν Meltdown (CVE-2017-5754) και Spectre (Variant 1 – CVE-2017-5753, αλλά και Variant 2 – CVE-2017-5715).

Οι περισσότεροι εμπειρογνώμονες ανέφεραν ότι μόνο το Meltdown και το Specter Variant 1 θα μπορούσαν θεωρητικά να αντιμετωπιστούν μέσω μιας ενημερωμένης έκδοσης του OS, αλλά το Specter Variant 2 απαιτεί παράλληλες ενημερώσεις στα firmware/BIOS/microcode για να επιδιορθωθεί πλήρως.

Όπως είχαμε αναφέρει σε προηγούμενη δημοσίευση, ο Werner Haas, εκπρόσωπος της Cyberus Technology και μέλος μιας από τις τρεις ανεξάρτητες ομάδες που ανακάλυψαν και ανέφεραν το Meltdown, δήλωσε ότι η επίτευξη μιας συνολικής προστασίας έναντι του Specter δεν είναι απλή και πιθανόν να συνεπάγεται με μια “συνεχιζόμενη διαδικασία” με διορθώσεις στο software και τροποποιήσεις στο hardware.

“Το σενάριο επιθέσεων [Spectre] δεν είναι τόσο απλό, καθώς είναι πολύ πιθανό να υπάρξουν επιθέσεις cross-application χωρίς καν την συμμετοχή του OS”, δήλωσε ο Haas.

“Επομένως, μια γενική λύση όπως αυτή του Meltdown φαίνεται απίθανη. Ως εκ τούτου, αναμένω συνδυασμένες επιδιορθώσεις σε ελαττώματα hardware/software μαζί με την προειδοποίηση ότι η καταπολέμηση του Spectre θα μια συνεχιζόμενη διαδικασία.”

Η διαδικασία επισκευής Specter είναι περίπλοκη και δύσκολη για όλους τους προμηθευτές hardware και λογισμικού. Έτσι η απόσυρση των ενημερώσεων από την Red Hat και η πρόταση της εταιρείας για patching από τους κατασκευαστές CPU και τους προμηθευτές OEM δεν αποτελεί έκπληξη.

Η Microsoft χρειάστηκε να σταματήσει την ανάπτυξη ενημερώσεων για το Spectre σε υπολογιστές AMD, αφού αντιμετώπισαν παρόμοια προβλήματα που εμπόδιζαν τα PC να εκκινήσουν. Η εταιρεία διέθεσε πολύ αργότερα αυτές τις ενημερώσεις αφού συνεργάστηκε με την AMD για την επίλυση των προβλημάτων.

Η Intel αντιμετωπίζει τα ίδια προβλήματα σε παλαιότερους επεξεργαστές Broadwell και Haswell.

Να αναφέρουμε ότι αμέσως μετά την ανακοίνωση των ευπαθειών το CERT ανακοίνωσε ότι ο μόνος τρόπος επιδιόρθωσης των Meltdown και Spectre ήταν η αντικατάσταση της CPU.

“Η υποκείμενη ευπάθεια προκαλείται κυρίως από τις επιλογές σχεδιασμού της αρχιτεκτονικής των CPU”, έγραψαν οι ερευνητές της CERT. “Η πλήρης κατάργηση της ευπάθειας απαιτεί την αντικατάσταση του ευάλωτου CPU.”

Λίγο αργότερα και χωρίς να γνωρίζει κανείς τι παίχτηκε κάτω από τραπέζι το CERT ανακάλεσε, και ένας εκπρόσωπος της Intel ο Agnes Kwan δήλωσε: “Η CERT ενημέρωσε το σημείωμα της ευπάθειας για να διορθώσει κάποιες ανακρίβειες.”

Φυσικά δεν θα περιμέναμε από την Intel δηλώσει κάτι διαφορετικό, αφού η παραδοχή της αναφοράς του CERT, θα προκαλούσε δυνατές αναταράξεις στην εταιρεία, με το ανάλογο οικονομικό κόστος.

 

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news