Microarchitectural Data Sampling - ZombieLoad

Z Thomas-Krenn-Wiki
Przejdź do nawigacji Przejdź do wyszukiwania

14 maja 2019 roku firma Intel opublikowała informacje na temat czterech luk bezpieczeństwa w Microarchitectural Data Sampling Advisory ("ZombieLoad"). W celu ochrony przed lukami konieczna jest aktualizacja mikrokodu procesorów i jądra systemu operacyjnego. W zależności od zastosowania, konieczne mogą być aktualizacje dla Qemu i Libvirt. Jednocześnie Intel opublikował kolejne aktualizacje w ramach QSR 2019.1 (Quarterly Security Release) - informacje na ten temat można znaleźć w artykule Wiki Zalecenia dotyczące bezpieczeństwa produktów Intel 2019-05-14 2019.1 QSR.

CVE

Szczegółowe informacje na temat następujących CVE można znaleźć na stronie firmy Intel w Advisory INTEL-SA-00233:[1]

  • Microarchitectural Store Buffer Data Sampling (MSBDS) - CVE-2018-12126
  • Microarchitectural Load Port Data Sampling (MLPDS) - CVE-2018-12127
  • Microarchitectural Fill Buffer Data Sampling (MFBDS) - CVE-2018-12130
  • Microarchitectural Data Sampling Uncacheable Memory (MDSUM) – CVE-2019-11091

Aktualizacje mikrokodu

Intel opublikował informacje na temat aktualizacji mikrokodu w Microcode Update Guidance:

Aktualizacje mikrokodu mogą być instalowane z poziomu systemu operacyjnego. Stale uzupełniamy następującą listę:

Aktualizacja mikrokodu za pomocą pakietu intel-microcode

Pakiety intel-microcode dla różnych systemów operacyjnych opartych na Linuksie zostały ostatnio aktualizowane.

W Ubuntu 18.04.2 LTS jest obecnie instalowana następująca wersja:[2] 

$ dpkg -l |grep intel-microcode
ii  intel-microcode                       3.20190514.0ubuntu0.18.04.2                 amd64        Processor microcode firmware for Intel CPUs

Mikrokod procesora Intel Xeon E3-1230 v6 został aktualizowany za pomocą tego nowego pakietu intel-microcode: 

$ dmesg | grep -i microcode
[    0.000000] microcode: microcode updated early to revision 0xb4, date = 2019-04-01
[    1.336539] microcode: sig=0x906e9, pf=0x2, revision=0xb4
[    1.343659] microcode: Microcode Update Driver: v2.2.

W powyżej wymienionej Intel Microcode Update Guidance jest odnotowane przy CPUID 906E9, że rewizja mikrokodu B4 zamyka luki z Advisory INTEL-SA-00233.

Aktualizacja mikrokodu przez update BIOS-u

Informacje o dostępnych aktualizacjach BIOS-u zawierających wymagane aktualizacje mikrokodu można znaleźć w artykule Aktualizacje bezpieczeństwa BIOS-ów.

Wpływ na wydajność

Łatki dla systemu operacyjnego mają zróżnicowany wpływ na wydajność, w zależności od obciążenia. Aby uzyskać więcej informacji na ten temat, polecamy poniższy artykuł na stronie Phoronix:

Jeśli w systemie jest uruchomiony tylko bezpieczny kod, to można również wyłączyć środki ochronne w systemie operacyjnym. Dla Linuksa odpowiednie informacje można znaleźć w "Linux kernel user’s and administrator’s guide" na poniższej stronie:

Dodatkowe informacje

Odnośniki

  1. INTEL-SA-00233 Microarchitectural Data Sampling Advisory (www.intel.com)
  2. intel-microcode 3.20190514.0ubuntu0.18.04.2 source package in Ubuntu (launchpad.net)

Autor: Werner Fischer

Powiązane artykuły

Intel Ethernet Server Adapter I350
Do artykułu
Mikrokod procesorów firmy Intel
Do artykułu
Zalecenia dotyczące bezpieczeństwa produktów firmy Intel z 10. lipca 2018
Do artykułu