È possibile aggirare le vulnerabilità di Meltdown / Spectre non installando nuovo software su un server?

Naviga le tue risposte
1

È possibile non installare nuovi programmi su un server e mettere da parte qualsiasi vulnerabilità di Meltdown / Spectre perché è solo un problema appena identificato.

Ho un server SLES che esegue un carico di database fisso. È un Intel Xeon su VPC AWS (hvm) in una sottorete privata. Mentre guardo indietro, nessun nuovo programma binari o processi sono stati aggiunti a questo server da quando è stato lanciato più di un anno fa. Ma abbiamo applicato regolarmente patch OS / DBMS raccomandate (che ovviamente introducono un nuovo codice)

Da quanto ho letto fino ad ora, i carichi di lavoro del tipo di database subiranno un enorme calo di prestazioni dalle correzioni. È già in esecuzione a circa il 60-80% della CPU durante le ore di punta e cresce, quindi mi aspetto di passare a un server più grande tra 2-3 mesi.

Sotto questo, ha senso saltare la correzione? Se sì, quanto è esteso?

Non ho molta familiarità con i kernel e le VM.

Grazie mille.

    
posta Dinesh 08.01.2018 - 00:05
fonte

1 risposta

4

Non ci sono.

Meltdown e Spectre rendono ogni vulnerabilità dieci volte peggiore. Se un programma esistente (che smetterei di aggiornare se lo avessi provato) avesse una vulnerabilità nota che abilitava qualsiasi tipo di esecuzione di codice remoto (anche se nessuno), allora un utente malintenzionato potrebbe utilizzare Meltdown per eseguire l'escalation dei permessi di root. Patch i tuoi sistemi.

    
risposta data 08.01.2018 - 00:12
fonte

Leggi altre domande sui tag

Spettro, Meltdown per leggere le chiavi SSH Firma ma non crittografia di e-mail generiche banali