dront78 17.06.2012 17:06
Я рекомендую — Intel microcode update
Кто не слышал, в процессорах Intel для архитектуры x86_64 найден аппаратный баг, позволяющий программе из usersapce прыгнуть в kernel space и далее делать все что захочется. Проблема решается установкой пакета microcode_ctl (для стабильных систем) или загрузкой модуля microcode (для систем с последними ядрами).Для ArchLinux pacman -S intel-ucode && modprobe microcode
Версия микрокода должна быть не младше 06/06/2012
ЗЫ
Владельцы ОС не имеющие возможности поставить соответствующие обновления, ждут обновления BIOS или ставят неуязвимую MacOS X ;)
> Для ArchLinux pacman -S intel-ucode && modprobe microcode
> Версия микрокода должна быть не младше 06/06/2012
Подозреваю, это не годится?
> Версия микрокода должна быть не младше 06/06/2012
# pacman -Ss intel-ucode
extra/intel-ucode 20111110-2 [installed]
Microcode update files for Intel CPUs
extra/intel-ucode 20111110-2 [installed]
Microcode update files for Intel CPUs
Подозреваю, это не годится?
На убунте установить пакеты intel-microcode и microcode.ctl, и ответить yes на вопрос, скачать ли апдейт из интернета.
Имеет ли смысл ставить это в случае, если я использую только 32-битный режим моего 64-битного процессора?
Кто-нибудь может объяснить, как обновиться до версии микрокода 06/06/2012? Я скачал архив, распаковал, на арчевики сказано, что /etc/firmware не используется при обновлении. Может стоит его закинуть в /usr/lib/firmware?
Вообще-то дыра проявляется только на Xen, специфичных виндовых системах привелегий и ядре фряхи, а все побежали свои локалхосты обновлять. :)
Очевидно же. Ты в новости своей ни слова не сказал про то, что на самом деле уязвимо(добавив какой-то бред про макось), а люди, не проверив, побежали обновляться. :)
а ты похоже почитал на лоре треды, поржал и по ссылкам не ходил ;)
Я как раз по ссылкам ходил, а на ЛОРе комменты не читал, тамошние аналитики не впечатляют.
Some 64-bit operating systems and virtualization software running on Intel CPU hardware are vulnerable to a local privilege escalation attack. The vulnerability may be exploited for local privilege escalation or a guest-to-host virtual machine escape.
Некоторые 64-битные операционные системы и программное обеспечение для виртуализации, работающее на Intel CPU, уязвимо для локальной атаки повышения полномочий. Уязвимость может быть использована для получения расширенных полномочий (читай прав) или выхода из под контроля виртуализатора.
далее список уязвимых ОС
что тебе еще надо?
А полностью всё прочитай, не вырывая цитаты из контекста. А так же потом пройдись по страницам безопасности указанных компаний(а не дистрибутивов) и посмотри, в каких пакетах ошибки. RedHat сразу пишет - xen. OpenSuSe так же говорит - xen. Citrix - понятное дело, они как раз на виртуализации зарабатывают и т.д. Все подтверждённые в системах Linux баги связаны с использованием гипервизора xen.
Я понимаю, что ты на ЛОРе новость прочитал и побежал обновляться. А мне эта новость прилетела в рассылку до ЛОРа. К слову и на ЛОРе она появилась с большим опозданием(17-го, когда ты её перепостил), потому как на том же опеннете эта ошибка была уже 13-го числа. А сам уязвимость была опубликована 12-го.
А мне эта новость прилетела в рассылку как раз 12-го. И так как у меня используются на серверах процы интел я побежал читать, что за дыра, и что делать. Среди прочего первым делом вышел на редхат, где прочитал вот такое:
И в конце концов ещё через несколько шагов пришёл к заключению, что ошибка довольно специфична. О чём дополнительно прочитал на слешдоте: "According to the article, exposed OSes include "Windows 7, Windows Server 2008 R2, 64-bit versions of FreeBSD and NetBSD, as well as systems that include the Xen hypervisor."
Дополнительно для очистки совести пробежался ещё по майлилстам разработчиков ядра linux и окончательно убедился, что паника поднята преждевременно.
Я понимаю, что ты на ЛОРе новость прочитал и побежал обновляться. А мне эта новость прилетела в рассылку до ЛОРа. К слову и на ЛОРе она появилась с большим опозданием(17-го, когда ты её перепостил), потому как на том же опеннете эта ошибка была уже 13-го числа. А сам уязвимость была опубликована 12-го.
А мне эта новость прилетела в рассылку как раз 12-го. И так как у меня используются на серверах процы интел я побежал читать, что за дыра, и что делать. Среди прочего первым делом вышел на редхат, где прочитал вот такое:
It was found that the Xen hypervisor implementation as shipped with Red
Hat Enterprise Linux 5 did not properly restrict the syscall return
addresses in the sysret return path to canonical addresses. An
unprivileged user in a 64-bit para-virtualized guest, that is running on a
64-bit host that has an Intel CPU, could use this flaw to crash the host
or, potentially, escalate their privileges, allowing them to execute
arbitrary code at the hypervisor level.
Hat Enterprise Linux 5 did not properly restrict the syscall return
addresses in the sysret return path to canonical addresses. An
unprivileged user in a 64-bit para-virtualized guest, that is running on a
64-bit host that has an Intel CPU, could use this flaw to crash the host
or, potentially, escalate their privileges, allowing them to execute
arbitrary code at the hypervisor level.
И в конце концов ещё через несколько шагов пришёл к заключению, что ошибка довольно специфична. О чём дополнительно прочитал на слешдоте: "According to the article, exposed OSes include "Windows 7, Windows Server 2008 R2, 64-bit versions of FreeBSD and NetBSD, as well as systems that include the Xen hypervisor."
Дополнительно для очистки совести пробежался ещё по майлилстам разработчиков ядра linux и окончательно убедился, что паника поднята преждевременно.
Нету никакой паники, есть хорошее описание в блоге Xen, что ошибка может быть использована и в других контекстах. Отсутствие эксплоита на публике или подобного вируса ничего не означает кроме того, что жить будет спокойнее. И если уж тебе пришло раньше всех, мог бы и рассказать сам ибо "предупрежден - значит вооружен". У меня на компе лично это весьма актуальный баг. Жду очередного коммента типа "капитан очевидность - я и так все знаю"
Пруф?