24 Stunden nach der Veröffentlichung der Sicherheitslücken im großen Stil schweigt Rackspace über Spectre und Meltdown. Sie haben keinen Plan zum Patchen aller Xen-Hypervisoren. Alle neueren Plattformserver sind anfällige HVM-Server. Ältere PV-Server sind nicht anfällig.
Ich habe den Linux-Kernel meiner HVM-Gäste aktualisiert, aber Rackspace hat keinen ihrer Hypervisoren aktualisiert. Verhindert das Aktualisieren des Gastkerns auf einem nicht gepatchten Hypervisor, dass "Bad Guy" -VMs auf Speicher zugreifen, der von meinem gepatchten Host übertragen wurde?
Antworten:
Nach meinem Verständnis der Sicherheitsanfälligkeiten, nein - die spekulativen Caching-Angriffe umgehen alle Schutzmaßnahmen der CPU gegen einen Prozess, der Speicher von einer beliebigen Adresse abruft.
Ich glaube, dies würde die benachbarten VMs (auch die, die zum Schutz vor dem Angriff selbst gepatcht wurden) sowie den Kernel-Speicherplatz des Hypervisors einschließen - aber selbst wenn ich etwas vermisse, das vor direkter Speicherfreigabe schützen würde, gibt es auch Potenzial dass der Angreifer seinen Zugriff auf den Kernelspeicher nutzen kann, um einen umfassenderen Zugriff auf den Hypervisor zu erhalten.
Sie möchten auf keinen Fall riskieren, eine vertrauliche Arbeitslast auf einem nicht gepatchten Hypervisor auszuführen, wenn Sie nicht allen VMs vertrauen, die darauf ausgeführt werden.
quelle
Spectre und Meltdown.
Wo fangen wir an? Eine schlechte, ich meine eine sehr schlechte Pressemitteilung von etwas, das Ihren Computer, Ihre Workstation, Ihren Server oder Ihren Server in der Cloud betreffen kann oder nicht. Ja, es ist völlig, aber Sie müssen lokalen Zugriff auf die zugeordnete CPU haben, das kann ein PC oder ein Telefon sein, wie es scheint. Apple ist ein Beispiel dafür, aber denken wir an die ARM-CPU. Das ist also jede mobile Plattform, die die (-Funktion unterstützt / Mikrocode-Belichtung / zu viel Kontrolle über die CPU vom Betriebssystem aus / etc / etc)
Die Anwendung muss auf der CPU des Geräts ausgeführt werden, damit der Konsolenzugriff oder zumindest der Remotebenutzer, der auf das System zugreift, den Gerätezugriff ermöglicht.
Derzeit ist die einzige bekannte Möglichkeit, diese Sicherheitsanfälligkeiten auszunutzen, der lokale / direkte Zugriff auf die CPU.
Unten sind die Patches, die ich bisher gefunden habe.
https://alas.aws.amazon.com/ALAS-2018-939.htm l
Dies muss die beste Antwort auf das aktuelle Problem sein
Was sagten unsere BSD-Freunde?
Schlechtes Google; (
ein Powershell check dafür;)
Der Linux-Kernel Ok, wir hatten eine interessante Woche und mittlerweile weiß jeder, warum wir all diese seltsamen x86-Page-Table-Isolations-Patches zusammengeführt haben, ohne alle normalen Release-Timing-Regeln zu befolgen.
Ich kann / werde wiederkommen und diesen Beitrag bearbeiten. Ich bin sicher, dass die Nicht-Ausgabe (bis in die Wildnis) kein echtes Problem lange Seeschwalbe sein wird. Google hätte die Veröffentlichungstermine hier wirklich einhalten müssen! -1 für Google
quelle