Microarchitectural Data Sampling - ZombieLoad
14 maja 2019 roku firma Intel opublikowała informacje na temat czterech luk bezpieczeństwa w Microarchitectural Data Sampling Advisory ("ZombieLoad"). W celu ochrony przed lukami konieczna jest aktualizacja mikrokodu procesorów i jądra systemu operacyjnego. W zależności od zastosowania, konieczne mogą być aktualizacje dla Qemu i Libvirt. Jednocześnie Intel opublikował kolejne aktualizacje w ramach QSR 2019.1 (Quarterly Security Release) - informacje na ten temat można znaleźć w artykule Wiki Zalecenia dotyczące bezpieczeństwa produktów Intel 2019-05-14 2019.1 QSR.
CVE
Szczegółowe informacje na temat następujących CVE można znaleźć na stronie firmy Intel w Advisory INTEL-SA-00233:[1]
- Microarchitectural Store Buffer Data Sampling (MSBDS) - CVE-2018-12126
- Microarchitectural Load Port Data Sampling (MLPDS) - CVE-2018-12127
- Microarchitectural Fill Buffer Data Sampling (MFBDS) - CVE-2018-12130
- Microarchitectural Data Sampling Uncacheable Memory (MDSUM) – CVE-2019-11091
Aktualizacje mikrokodu
Intel opublikował informacje na temat aktualizacji mikrokodu w Microcode Update Guidance:
- Microcode Revision Guidance SA00233 (www.intel.com)
Aktualizacje mikrokodu mogą być instalowane z poziomu systemu operacyjnego. Stale uzupełniamy następującą listę:
- USN-3977-1: Intel Microcode update (ubuntu.com)
- Summary of Intel microcode updates (support.microsoft.com)
- VMware Security Advisory VMSA-2019-0008 (vmware.com)
- SUSE addresses Microarchitectural Data Sampling Vulnerabilities (suse.com)
- MDS - Microarchitectural Data Sampling - CVE-2018-12130, CVE-2018-12126, CVE-2018-12127, and CVE-2019-11091 (access.redhat.com)
- Debian Security Advisory DSA-4444-1 linux -- security update (debian.org)
Aktualizacja mikrokodu za pomocą pakietu intel-microcode
Pakiety intel-microcode dla różnych systemów operacyjnych opartych na Linuksie zostały ostatnio aktualizowane.
W Ubuntu 18.04.2 LTS jest obecnie instalowana następująca wersja:[2]
$ dpkg -l |grep intel-microcode ii intel-microcode 3.20190514.0ubuntu0.18.04.2 amd64 Processor microcode firmware for Intel CPUs
Mikrokod procesora Intel Xeon E3-1230 v6 został aktualizowany za pomocą tego nowego pakietu intel-microcode:
$ dmesg | grep -i microcode [ 0.000000] microcode: microcode updated early to revision 0xb4, date = 2019-04-01 [ 1.336539] microcode: sig=0x906e9, pf=0x2, revision=0xb4 [ 1.343659] microcode: Microcode Update Driver: v2.2.
W powyżej wymienionej Intel Microcode Update Guidance jest odnotowane przy CPUID 906E9, że rewizja mikrokodu B4 zamyka luki z Advisory INTEL-SA-00233.
Aktualizacja mikrokodu przez update BIOS-u
Informacje o dostępnych aktualizacjach BIOS-u zawierających wymagane aktualizacje mikrokodu można znaleźć w artykule Aktualizacje bezpieczeństwa BIOS-ów.
Wpływ na wydajność
Łatki dla systemu operacyjnego mają zróżnicowany wpływ na wydajność, w zależności od obciążenia. Aby uzyskać więcej informacji na ten temat, polecamy poniższy artykuł na stronie Phoronix:
- Spectre/Meltdown/L1TF/MDS Mitigation Costs On An Intel Dual Core + HT Laptop (www.phoronix.com, 21.05.2019)
Jeśli w systemie jest uruchomiony tylko bezpieczny kod, to można również wyłączyć środki ochronne w systemie operacyjnym. Dla Linuksa odpowiednie informacje można znaleźć w "Linux kernel user’s and administrator’s guide" na poniższej stronie:
- MDS - Microarchitectural Data Sampling - Mitigation selection guide (www.kernel.org/doc)
Dodatkowe informacje
- Engineering New Protections Into Hardware (www.intel.com)
- Neue Sicherheitsluecken in Intel Prozessoren ZombieLoad (heise.de, 14.05.2019)
- Neue Linux Kernel schuetzen vor ZombieLoad aka MDS (heise.de, 15.04.2019)
- MDS - Microarchitectural Data Sampling (kernel.org/doc)
- Intel Product Security Center Advisories (www.intel.com)
- Supermicro Security Center (www.supermicro.com)
- Intel Quarterly Security Release (QSR) 2019.1, May 2019 (www.supermicro.com)
- Security Vulnerabilities Regarding Spectre, Meltdown, and Intel QSR Update (www.supermicro.com)
Odnośniki
- ↑ INTEL-SA-00233 Microarchitectural Data Sampling Advisory (www.intel.com)
- ↑ intel-microcode 3.20190514.0ubuntu0.18.04.2 source package in Ubuntu (launchpad.net)
Autor: Werner Fischer