Ubuntu在Meltdown和Specter漏洞上的状态是什么？

问题描述

Any questions relating to status updates, or asking if anything is going to be patched for these vulnerabilities should be closed as duplicates of this question.

Meltdown and Spectre现在正在消息中，听起来相当严重。我没有看到来自Ubuntu的任何安全更新，涵盖了这些漏洞。

Ubuntu对这些漏洞做了什么，以及Ubuntu用户应该做什么？

这些是CVE-2017-5753，CVE-2017-5715和CVE-2017-5754。

最佳解决方法

据发现，一类新的旁道攻击会影响大多数处理器，包括来自英特尔，AMD和ARM的处理器。该攻击允许恶意用户空间进程读取内核内存和恶意代码，以读取管理程序内存。

为了解决这个问题，需要更新Ubuntu内核和处理器微代码。更新在Ubuntu Security Notices中公布。目前已经宣布了Meltdown /Spectre相关的更新，包括内核和用户空间软件的更新。

以下更新已发布：

• Ubuntu内核更新可在USN 3522-1(适用于Ubuntu 16.04 LTS)，USN 3523-1(适用于Ubuntu 17.10)，USN 3522-2(适用于Ubuntu 14.04 LTS(HWE))和USN-3524-1(适用于Ubuntu 14.04 LTS)中提供。

• 在USN-3541-2(适用于Ubuntu 16.04 LTS(HWE))，USN-3540-1(适用于Ubuntu 16.04 LTS)，USN-3541-1(适用于Ubuntu 17.10)中，于2018年1月22日发布了更多内核更新(包括针对两种Specter变体的缓解措施和针对Meltdown的其他缓解措施) ，USN-3540-2(用于Ubuntu 14.04 LTS(HWE))，USN-3542-1(用于Ubuntu 14.04 LTS)，USN-3542-2(用于Ubuntu 12.04 LTS(HWE))。

• USN-3516-1提供Firefox更新。

• USN-3521-1提供NVIDIA驱动程序更新。

• USN-3531-1提供英特尔微代码更新。由于回归，微代码更新现在已经恢复(USN-3531-2)。

用户应该在发布in the normal way时立即安装更新。内核和微代码更新需要重新启动才能生效。

重启后用户可以verify the kernel page table isolation patches are active。

Updates for Ubuntu 17.04 (Zesty Zapus) will not be provided于2018年1月13日发布，详见reached end-of-life。

在发布安全更新之前，Dustin Kirkland已经提供了有关blog post中的更新内容的更多详细信息，包括提及内核更新以及CPU微代码，gcc和qemu更新。

Canonical的Kiko Reis于2018年1月24日为Ubuntu用户写了accessible description of the impact of these vulnerabilities and their mitigations。

Ubuntu安全团队是maintaining their current status on these issues和an official technical FAQ，详细介绍了不同用例下特定的各种漏洞变体及其迁移。

次佳解决方法

这里有一些特殊的事情需要记住，这是我从一些分析和安全邮件列表中发现的，它超越了Ubuntu：

1. 熔毁攻击可以在内核级别进行修补。这将有助于防范Meltdown漏洞集。

2. 幽灵攻击矢量更难以防范，但对于坏人来说更难以利用。虽然有已知攻击媒介的软件补丁(例如可修补的LLVM攻击媒介)，但核心问题是要真正修复幽灵，必须改变CPU硬件的工作原理和行为。这使得防御难得多，因为只有已知的攻击媒介才能真正被修补。但是，每个软件都需要针对此问题进行单独强化，这意味着这是“一个补丁无法解决所有问题”的一种交易。

现在，对于大问题：

• Ubuntu会为补丁和幽灵漏洞补丁吗？

  • 答案是肯定的，但要做到这一点非常棘手，补丁涓流进入内核，但是内核和安全团队在进行测试时可能会遇到意想不到的退化，他们必须通过补丁来修复意外问题。安全和内核团队正在努力。

• 何时可以修复？

  • 我会给你和我从内核团队那里得到的同样的答案：“当我们确信补丁能够工作，并且我们不会在此过程中大幅破坏其他任何东西。”现在，需要考虑的一件大事情是：1月9日公开披露的目标日期应该与修复版本一致。但是，1月3日发生了披露，相反。核心团队和安全团队仍然瞄准1月9日的日期，但这不是一个确定的截止日期，并且如果在该过程中内核的任何重要事件中断，可能会有延迟

• 有什么地方我应该寻找关于熔毁和幽灵的更多更新？

  • Yes, actually. Ubuntu安全团队拥有关于Spectre和Meltdown的知识库文章，您将注意到有关发布修补程序的时间表的一些状态报告，以及哪些不是。您还应该观看Ubuntu安全团队的Security Notifications网站，并密切注意可用于内核的修复。

您应该关注的其他相关链接：

• Meltdown and Spectre – Information Site

• Ubuntu Security Team Knowledge Base – Spectre and Meltdown

• Ubuntu CVE Tracker – Meltdown – CVE-2017-5754

• Ubuntu CVE Tracker – Spectre – 1 of 2 – CVE-2017-5715

• Ubuntu CVE Tracker – Spectre – 2 of 2 – CVE-2017-5753

参考资料

• What is Ubuntu’s status on the Meltdown and Spectre vulnerabilities?