Il kernel di Linux è vulnerabile a LazyFP (CVE-2018-3665)?

Naviga le tue risposte
5

Recentemente, è stato scoperto un attacco di canale laterale che sfrutta lo stato di FPU pigro che passa a filtrare il contenuto dei registri MMX, SSE e AVX. La vulnerabilità può essere sfruttata solo quando vengono utilizzati salvataggi FPU pigri, al contrario dei salvataggi di FPU desiderosi. Sto leggendo fonti contrastanti sul fatto che il kernel di Linux sia o meno vulnerabile. Una fonte afferma che è vulnerabile. Tuttavia, vi è un'altra risorsa del 2016 che spiega che Linux usa FPU desiderose per impostazione predefinita, indicando che non è interessato. Un impegno dal 2016 mostra quando desiderosi la commutazione è diventata predefinita.

Linux è vulnerabile o non è interessato a causa dell'uso della commutazione FPU entusiasta? La mia comprensione è che è vulnerabile solo se eagerfpu=off , che non è l'impostazione predefinita. La mia comprensione è corretta?

    
posta forest 15.06.2018 - 07:04
fonte

3 risposte

2

Le versioni del kernel precedenti alla patch che hai mostrato sono interessate. Ad esempio questo Redentore della sicurezza RedHat afferma:

  • RHEL-7 will automatically default to (safe) “eager” floating point register restore on Sandy Bridge and newer Intel processors. AMD processors are not affected.

  • You can mitigate this issue on older processors by booting the kernel with the eagerfpu=on parameter to enable eager FPU restore mode. In this mode FPU state is saved and restored for every task/context switch regardless of whether the current process invokes FPU instructions or not. The parameter does not affect performance negatively, and can be applied without adverse effects to processors that are not affected.

RHEL 6 and earlier are impacted by this CVE and do not provide the eagerfpu parameter. Red Hat will be releasing updates which will change the behavior.

Questo suggerisce che la patch verrà trasferita ai kernel precedenti poiché richiede la modifica del kernel stesso piuttosto che semplicemente la modifica di un parametro alla compilazione.

    
risposta data 15.06.2018 - 07:21
fonte
2

Per citare le informazioni da Redhat :

RHEL-7 will automatically default to (safe) “eager” floating point register restore on Sandy Bridge and newer Intel processors. AMD processors are not affected. ... You can mitigate this issue on older processors by booting the kernel with the eagerfpu=on parameter to enable eager FPU restore mode

Per Debian sembra che lazyFP sia corretto per qualsiasi cosa che usi un kernel 4.9 o più recente . Debian si collega anche al messaggio di commit del kernel dal 01/2016 dove eagerfpu è stato abilitato per tutte le CPU di default.

Per quanto riguarda altre distribuzioni, è necessario dare un'occhiata a quale kernel viene utilizzato, quali patch possono essere applicate e quali impostazioni di configurazione sono state utilizzate. Semplicemente non c'è "il Linux" ma piuttosto molte distribuzioni che usano versioni differenti del kernel con diverse patch e diverse impostazioni ecc.

    
risposta data 15.06.2018 - 07:19
fonte
0

Per lo più si.

I fornitori di sistemi operativi Linux stanno cercando di giocare in difesa e ora hanno presentato più parametri che è possibile abilitare / disabilitare quando si desidera utilizzare speciali istruzioni della CPU. È il loro modo di non dover aggiornare costantemente il kernel. SE è vulnerabile, disabilita il parametro e vai su ...

Per avere il parametro disponibile sono necessari gli ultimi aggiornamenti del kernel.

Quelli che hanno la mitigazione abilitata di default come il cappello rosso, sono limitati a specifici set di processori. Vengono automaticamente mitigati se viene trovata questa CPU specifica. Se non vengono trovati, falliranno.

Quindi dovrai verificare qual è il tuo Linux Flavor, qual è la tua CPU e qual è il kernel che stai utilizzando per sapere se sei mitigato.

    
risposta data 18.06.2018 - 18:42
fonte

Leggi altre domande sui tag

Perché le schermate di accesso nascondono il campo di inserimento della password fino a quando non viene fornito il nome utente? [duplicare] Utilizzo della password di Secure Remote senza incorporare il modulo