2018-01-31 13:04 GMT-03:00 Juan Erbes
El día 31 de enero de 2018, 12:50, Kernel
escribió: Hola,
He leido un poco sobre el tema y me pregunto si esto puede afectar a un servidor con opensuse el cual solo tiene un servidor apache corriendo.
Entiendo que estos problemas de seguridad se producen desde dentro de la propia maquina, estando ya en el sistema, donde un programa espia puede acceder a posiciones de memoria
¿estoy en lo cierto?
Primero, debes averiguar si la/las CPU son vulnerables.
Hace poco publiqué esto sobre el tema:
www.muylinux.com/2018/01/10/comprobar-cpu-vulnerable-spectre-meltdown-linux/
Comprobando:
Kernel 4.14.13-4-default
Lo descargue con: wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/sp...
Me loquee con su, y lo ejecute: sh spectre-meltdown-checker.sh Spectre and Meltdown mitigation detection tool v0.29
Checking for vulnerabilities against running kernel Linux 4.14.13-4-default #1 SMP PREEMPT Thu Jan 11 18:24:32 UTC 2018 (b5e51f3) x86_64 CPU is AMD FX-8320E Eight-Core Processor
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1' * Checking count of LFENCE opcodes in kernel: YES
STATUS: NOT VULNERABLE (77 opcodes found, which is >= 70, heuristic to be improved when official patches become available)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2' * Mitigation 1 * Hardware (CPU microcode) support for mitigation: NO * Kernel support for IBRS: YES * IBRS enabled for Kernel space: NO * IBRS enabled for User space: NO * Mitigation 2 * Kernel compiled with retpoline option: NO * Kernel compiled with a retpoline-aware compiler: NO
STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3' * Kernel supports Page Table Isolation (PTI): YES * PTI enabled and active: NO
STATUS: NOT VULNERABLE (your CPU vendor reported your CPU model as not vulnerable)
Hay un par de puiblicaciones sobre Apache y las vulnerabilidades Spectre y Meltdown:
https://blogs.apache.org/ignite/entry/protecting-apache-ignite-from-meltdown
https://blogs.apache.org/ignite/entry/meltdown-and-spectre-patches-show
Los patches para intel de mediados de enero, eran un desastre: https://access.redhat.com/discussions/3320781 https://www.forbes.com/sites/thomasbrewster/2018/01/10/intel-microsoft-linux... El mismo Linus Torvalds lo decía: En una discusión con otro de los desarrolladores, que además fue empleado de Intel y uno de los encargados de los parches contra los mencionados vectores de ataque, ha respondido que los parches implementados por el gigante del chip son “total y completamente basura”. Como argumento, ha cargado contra su funcionamiento, diciendo que “hacen locuras” que se podrían considerar “sin sentido”. Torvalds comenta que “eso es en realidad ignorar un problema importante, ya que toda la interfaz de hardware está literalmente mal diseñada por imbéciles” https://www.muylinux.com/2018/01/22/meltdown-spectre-kroah-hartman-linus-tor... Salu2 -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org