Knowledge base
Jak zabezpieczyć swój system operacyjny przed podatnością Bounds-Check oraz Branch Target Injection
Posted by Marketing Department on 18.01.2018 20:45

Niewątpliwie początek tego roku to pracowity okres dla administratorów systemów IT, a wszystko za sprawą odkrytych luk bezpieczeństwa w procesorach Intela oraz AMD. Szczęśliwie łatki są już dostępne i trzymamy rękę na pulsie, wprowadzając je systematycznie. Jednak proces jest nieco bardziej złożony i nie wszystko jesteśmy w stanie zrobić sami. Procedura aktualizacji wymaga też działań po stronie klientów Oktawave.

Co już zrobiliśmy?

Po stronie Oktawave niezwłocznie przystąpiliśmy do wdrożenia poprawki VMSA-2018-0002 (https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html). Wdrożenie przebiegło pomyślnie. Pomimo medialnych spekulacji (odnośnie do ewentualnego obniżenia wydajności CPU sięgającego nawet 30%) testy, które przeprowadziliśmy we wszystkich pięciu subregionach po wdrożeniu aktualizacji, nie wykazują żadnego pogorszenia wydajności znajdujących się tam instancji OCI.

Co zrobimy?

W celu zażegnania potencjalnego zagrożenia przejęcia danych konieczne jest zastosowanie drugiej łatki VMSA-2018-0004 (https://www.vmware.com/security/advisories/VMSA-2018-0004.html). Niestety, pomimo rozpoczęcia tej operacji otrzymaliśmy informację o konieczności wstrzymania aktualizacji mikrokodu CPU ze względy na ryzyko istniejące dla procesorów Broadwell oraz Haswell. Szerzej temat jest opisany tutaj: https://kb.vmware.com/s/article/52345.

W związku z powyższym podjęliśmy decyzję o wstrzymaniu aktualizacji mikrokodu oraz hiperwizorów oraz o kontynuowaniu aktualizacji tzw. "hardware version" wirtualnych maszyn.

Co muszą zrobić klienci Oktawave?

W przyszłości, po opanowaniu problemów przez Intela, oprócz hiperwizorów, aktualizowany będzie również mikrokod procesorów. Wymusza to na nas konieczność podniesienia tzw. "hardware version" maszyn wirtualnych do wersji 10. (obecna wersja oznaczona jest numerem 8). Istnieje niewielkie ryzyko, że po tej aktualizacji niektóre aplikacje, które instalowali nasi klienci na swoich OCI, nie uruchomią się poprawnie. Zestawienie różnic pomiędzy "hardware version" 8 i 10 można znaleźć pod tym adresem: https://kb.vmware.com/s/article/2051652.

Najistotniejszą czynnością po aktualizacji jest dodanie wsparcia flagi CPU: PCID (Process Context Identifiers). Z uwagi na złożoność problemu konieczne jest tutaj działanie, które musi zostać przeprowadzone samodzielnie przez klientów. Nie trzeba przy tym już oczekiwać na aktualizację mikrokodu, a procedurę należy przeprowadzić według następującego schematu.

1. Wyłączenie instancji OCI.

2. Utworzenie na niej snapshota (jest to konieczne, aby w przypadku niepowodzenia można było wrócić do poprzedniej wersji OCI).

3. Przeprowadzenie Aktualizacji wersji sprzętowej (opisane szerzej poniżej).

4. Uruchomienie maszyny.

5a. Jeśli maszyna działa prawidłowo:

  • wyłączyć maszynę,
  • usunąć snapshot,
  • włączyć maszynę.

5b. Jeśli maszyna nie działa prawidłowo, należy przywrócić ją ze snapshota i skontaktować się z customer@oktawave.com.

6. Zalecamy usunięcie wszystkich snapshotów sprzed upgrade'u (ich przywrócenie cofnęłoby upgrade).

Aktualizacji wersji sprzętowej

Procedura aktualizacji wersji sprzętowej jest dostępna dla maszyn, które nie były jeszcze upgrade'owane. Próba aktualizacji wersji sprzętowej, tam gdzie nie jest to konieczne, zakończy się zwróceniem błędu walidacji.

Aby zainicjować proces aktualizacji wersji sprzętowej, należy z listy usług wybrać Oktawave Cloud Instance, przejść do konkretnej instancji i na jej karcie wybrać odnośnik Aktualizuj wersję sprzętu.

 

Skuteczność aktualizacji można zweryfikować poprzez sprawdzenie dostępnych w wirtualnych maszynach flag procesora. Powinna pojawić się flaga PCID. W tym celu wydajemy polecenie cat /proc/cpuinfo, w wyniku którego powinniśmy zobaczyć następujący wynik.


flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ss syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon nopl xtopology tsc_reliable nonstop_tsc aperfmperf pni pclmulqdq ssse3 fma cx16 pcid sse4_1 sse4_2 x2apic movbe popcnt aes xsave avx f16c rdrand hypervisor lahf_lm ida arat epb pln pts dtherm fsgsbase smep

 

Aktualizacja systemu operacyjnego

Po udanym przeprowadzeniu wyżej opisanej operacji zalecamy aktualizację oprogramowania systemu operacyjnego zgodnie z własną polityką bezpieczeństwa. Łatki na podatności Bounds-Check oraz Branch Target Injection są już dostępne na większość systemów operacyjnych, jako iż mają wysoki priorytet.

Szczegółowe instrukcje aktualizacji poszczególnych dystrybucji linuksowych znajdziecie na stronie: https://www.cyberciti.biz/faq/patch-meltdown-cpu-vulnerability-cve-2017-5754-linux/.

Dodatkowe informacje, z podziałem na konkretne dystrybucje:

(4 vote(s))
This article was helpful
This article was not helpful

Comments (0)
Post a new comment
 
 
Full Name:
Email:
Comments:
CAPTCHA Verification 
 
Please enter the text you see in the image into the textbox below. This is required to prevent automated registrations and form submissions.