新的类似Spectre的缺陷再次影响Intel x86 CPU,称为L1 Terminal Fault(L1TF)或Foreshadow,现在可以为最流行的基于Linux的操作系统提供补丁。
Canonical和Red Hat都向我们发送了关于L1 Terminal Fault安全漏洞的电子邮件,这些漏洞记录为CVE-2018-3620,用于操作系统和系统管理模式(SMM),CVE-2018-3646用于影响虚拟化,以及CVE-2018-3615用于英特尔软件保护扩展(英特尔SGX)。它们会影响所有基于Linux的操作系统和具有Intel CPU的计算机。
“据发现,英特尔CPU内核的L1数据缓存中存在的内存可能会暴露在CPU内核上执行的恶意进程中。此漏洞也称为L1 Terminal Fault(L1TF)。客户虚拟机可以使用它来暴露敏感信息(来自其他客户或主机操作系统的内存),“详情阅读Ubuntu安全公告。
除了L1 Terminal Fault缺陷之外,新的内核更新还修补了Juha-Matti Tilli在Linux内核的IP实现中发现的安全漏洞(CVE-2018-5391),该漏洞在处理传入数据包期间在各种情况下执行算法成本高昂的操作碎片,从而允许远程攻击者导致拒绝服务。
“通过减少不完整碎片数据包的内存使用默认限制可以减轻这种情况。通过设置sysctls可以实现相同的缓解而无需重启:net.ipv4.ipfrag_high_thresh = 262144 / net.ipv6.ip6frag_high_thresh = 262144 / net.ipv4.ipfrag_low_thresh = 196608 / net.ipv6.ip6frag_low_thresh = 196608,“更多想起阅读Debian安全公告。
如何针对Foreshadow漏洞修补您的计算机
针对Foreshadow(L1 Terminal Fault)漏洞修补您的计算机非常重要,现在可以为Ubuntu 18.04 LTS(Bionic Beaver),Ubuntu 16.04 LTS(Xenial Xerus),Ubuntu 14.04 LTS(Trusty Tahr),Ubuntu 12.04 ESM(Precise Pangolin),Debian GNU / Linux 9“Stretch”,红帽企业Linux 6,红帽企业Linux 7,CentOS Linux 6和CentOS Linux 7。
建议所有这些操作系统的用户或基于它们的其他GNU/Linux发行版尽快更新其安装。确保为Linux OS安装最新的内核版本,然后重新启动计算机以激活补丁。此外,请确保您正在为Intel处理器运行最新的微码固件更新。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx