Meltdown και Spectre: Όταν μια ολόκληρη Red Hat κάνει πίσω…

H Red Hat κυκλοφόρησε ενημερώσεις που επαναφέρουν τα προηγούμενα patches επιδιόρθωσης της ευπάθειας (Variant 2, γνωστή και ως CVE-2017-5715), όταν οι πελάτες της εταιρείας ανέφεραν ότι ορισμένα συστήματα αποτυγχάνουν να εκκινήσουν.

“Η Red Hat δεν παρέχει πλέον μικροκώδικα για να αντιμετωπίσει το Specter, στην παραλλαγή 2, εξαιτίας των αστάθμητων που έχουν δημιουργηθεί και προκαλούν δυσκολίες στην εκκίνηση συστημάτων των πελατών μας”, ανέφερε η εταιρεία.

Αντί για τις ενημερώσεις λοιπόν, η Red Hat συστήνει σε κάθε πελάτη της να επικοινωνήσει με τον πάροχο hardware OEM για να επιδιορθώσει την ευπάθεια CVE-2017-5715 ανά .Red Hat

Εκτός από τη διανομή , και άλλες διανομές με βάση το RHEL, όπως το CentOS και το Scientific Linux, θα επηρεαστούν από την απόφαση της Red Hat να επαναφέρει τις προηγούμενες ενημερώσεις για το Specter Variant 2. Έτσι όλοι όσοι χρησιμοποιούν RHEL και forks της διανομής θα πρέπει επίσης να επικοινωνήσουν με τους πωλητές CPU/OEM.

Να υπενθυμίσουμε ότι ο CVE-2017-5715 είναι ο αναγνωριστικός αριθμός για ένα από τα τρία τα γνωστά σαν (CVE-2017-5754) και Spectre (Variant 1 – CVE-2017-5753, αλλά και Variant 2 – CVE-2017-5715).

Οι περισσότεροι εμπειρογνώμονες ανέφεραν ότι μόνο το Meltdown και το Specter Variant 1 θα μπορούσαν θεωρητικά να αντιμετωπιστούν μέσω μιας ενημερωμένης έκδοσης του OS, αλλά το Specter Variant 2 απαιτεί παράλληλες ενημερώσεις στα firmware/BIOS/microcode για να επιδιορθωθεί πλήρως.

Όπως είχαμε αναφέρει σε προηγούμενη δημοσίευση, ο Werner Haas, εκπρόσωπος της Cyberus Technology και μέλος μιας από τις τρεις ανεξάρτητες ομάδες που ανακάλυψαν και ανέφεραν το Meltdown, δήλωσε ότι η επίτευξη μιας συνολικής προστασίας έναντι του Specter δεν είναι απλή και πιθανόν να συνεπάγεται με μια “συνεχιζόμενη ” με διορθώσεις στο software και τροποποιήσεις στο hardware.

“Το σενάριο επιθέσεων [Spectre] δεν είναι τόσο απλό, καθώς είναι πολύ πιθανό να υπάρξουν επιθέσεις cross-application χωρίς καν την συμμετοχή του OS”, δήλωσε ο Haas.

“Επομένως, μια γενική λύση όπως αυτή του Meltdown φαίνεται απίθανη. Ως εκ τούτου, αναμένω συνδυασμένες επιδιορθώσεις σε ελαττώματα hardware/software μαζί με την προειδοποίηση ότι η καταπολέμηση του Spectre θα μια συνεχιζόμενη διαδικασία.”

Η διαδικασία επισκευής Specter είναι περίπλοκη και δύσκολη για όλους τους προμηθευτές hardware και λογισμικού. Έτσι η απόσυρση των ενημερώσεων από την Red Hat και η πρόταση της εταιρείας για patching από τους κατασκευαστές CPU και τους προμηθευτές OEM δεν αποτελεί έκπληξη.

Η Microsoft χρειάστηκε να σταματήσει την ανάπτυξη ενημερώσεων για το Spectre σε υπολογιστές AMD, αφού αντιμετώπισαν παρόμοια προβλήματα που εμπόδιζαν τα PC να εκκινήσουν. Η εταιρεία διέθεσε πολύ αργότερα αυτές τις ενημερώσεις αφού συνεργάστηκε με την AMD για την των προβλημάτων.

Η Intel αντιμετωπίζει τα ίδια προβλήματα σε παλαιότερους επεξεργαστές Broadwell και Haswell.

Να αναφέρουμε ότι αμέσως μετά την ανακοίνωση των ευπαθειών το CERT ανακοίνωσε ότι ο μόνος τρόπος επιδιόρθωσης των Meltdown και Spectre ήταν η αντικατάσταση της CPU.

“Η υποκείμενη ευπάθεια προκαλείται κυρίως από τις επιλογές σχεδιασμού της αρχιτεκτονικής των CPU”, έγραψαν οι ερευνητές της CERT. “Η πλήρης κατάργηση της ευπάθειας απαιτεί την αντικατάσταση του ευάλωτου CPU.”

Λίγο αργότερα και χωρίς να γνωρίζει κανείς τι παίχτηκε κάτω από τραπέζι το CERT ανακάλεσε, και ένας εκπρόσωπος της Intel ο Agnes Kwan δήλωσε: “Η CERT ενημέρωσε το σημείωμα της ευπάθειας για να διορθώσει κάποιες ανακρίβειες.”

Φυσικά δεν θα περιμέναμε από την Intel δηλώσει κάτι διαφορετικό, αφού η παραδοχή της αναφοράς του CERT, θα προκαλούσε δυνατές αναταράξεις στην εταιρεία, με το ανάλογο οικονομικό κόστος.

 

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).