Devo eseguire il patch di Linux per Meltdown / Spectre se l'hypervisor è stato riparato e mi fido dell'ospite?

Naviga le tue risposte
5

Se eseguo una macchina virtuale su Amazon EC2 o Microsoft Azure e hanno riparato l'hypervisor sottostante, devo aggiornare il mio kernel Linux per proteggerlo da Meltdown o Spectre?

Supponiamo che non stia eseguendo alcun software non attendibile nella mia VM.

So che se non cerco il mio kernel, sono a rischio di software non affidabile in esecuzione nella mia VM. Questo non è diverso da un normale server (non virtuale), e quindi non interessante.

Se l'hypervisor ha una patch, ma il mio kernel non lo è, sono a rischio di ospiti vicini (compromessi o malevoli)?

    
posta Roger Lipscombe 04.01.2018 - 19:23
fonte

1 risposta

4

Per rispondere alla domanda che hai originariamente chiesto: se stai eseguendo o meno codice non fidato, se vuoi proteggerti da Meltdown o Spectre, devi ancora aggiornare il tuo kernel, anche se il tuo provider di cloud ha corretto le patch hypervisor sottostante .

L' annuncio del cliente GCE (collegato dalla post sul blog di sicurezza di Google , che è un po 'leggero sui dettagli ma anche link a l'annullamento del progetto zero che è completo) dice in "Stato di mitigazione":

Infrastructure patched against known attacks. Customers must patch/update guest environment.

Se non ti fidi di Google, AWS ha il proprio bollettino sulla sicurezza che afferma:

While the updates AWS performs protect underlying infrastructure, in order to be fully protected against these issues, customers must also patch their instance operating systems. Updates for Amazon Linux have been made available, and instructions for updating existing instances are provided further below along with any other AWS-related guidance relevant to this bulletin.

Il motivo per cui questo è necessario è perché la paravirtualizzazione consente al kernel guest di avere il controllo del TLB nella CPU direttamente, senza la mediazione dall'hypervisor (è uno dei principali miglioramenti delle prestazioni del paravirt su tutto il virt, insieme al diretto I / O). Pertanto, se il kernel del SO guest non implementa le attenuazioni, i processi in esecuzione nella VM possono ancora prelevare dati dal kernel e da altri processi in esecuzione nello stesso guest.

La risposta alla domanda seconda che hai modificato la tua domanda da aggiungere, a seconda che tu sia a rischio dai tuoi vicini, sembra essere, con le informazioni attualmente disponibili, "no" . La risposta alla terza domanda, apparentemente implicita, relativa all'opportunità di applicare una patch ora o nel normale ciclo di patch, non risponde alle informazioni fornite, poiché è profondamente radicata nel profilo di rischio della propria organizzazione e nei modelli di minaccia, e direi che stai confinando "principalmente basato sull'opinione pubblica" con quello.

    
risposta data 04.01.2018 - 23:02
fonte

Leggi altre domande sui tag

Google è più sicuro di LastPass Secure Notes? Qual è lo scopo dei nomi di input del modulo dipendenti dal tempo?