|
Ubuntu、CentOS及Debian,包括RHEL现在都可以更新系统以修补L1 Terminal Fault(L1TF)或称为Foreshadow漏洞。这个漏洞是新的类似Spectre缺陷,它影响Intel x86 CPU,目前大部分流行的Linux发行版都在提供补丁以修复该漏洞。
Canonical和Red Hat都向我们发送了关于L1 Terminal Fault安全漏洞的电子邮件,这些漏洞记录为CVE-2018-3620,用于操作系统和系统管理模式(SMM),CVE-2018-3646用于影响虚拟化,以及CVE-2018-3615用于英特尔软件保护扩展(英特尔SGX)。它们会影响所有基于Linux的操作系统和具有Intel CPU的计算机。
据发现,英特尔CPU内核的L1数据缓存中存在的内存可能会暴露在CPU内核上执行的恶意进程中。此漏洞也称为L1 Terminal Fault(L1TF)。客户虚拟机可以使用它来暴露敏感信息(来自其他客户或主机操作系统的内存)。
除了L1 Terminal Fault缺陷之外,新的内核更新还修补了Juha-Matti Tilli在Linux内核的IP实现中发现的安全漏洞(CVE-2018-5391),该漏洞在处理传入数据包期间在各种情况下执行算法成本高昂的操作碎片,从而允许远程攻击者导致拒绝服务。
通过减少不完整碎片数据包的内存使用默认限制可以减轻这种情况。通过设置sysctls可以实现相同的缓解而无需重启: net.ipv4.ipfrag_high_thresh = 262144 net.ipv6.ip6frag_high_thresh = 262144 net.ipv4.ipfrag_low_thresh = 196608 net.ipv6.ip6frag_low_thresh = 196608
L1 Terminal Fault(L1TF)、Foreshadow漏洞影响多个Linux版本 本次的L1 Terminal Fault(L1TF)或称为Foreshadow漏洞影响多个Linux版本,比如Ubuntu 18.04 LTS(Bionic Beaver)、Ubuntu 16.04 LTS(Xenial Xerus)、Ubuntu 14.04 LTS(Trusty Tahr)、Ubuntu 12.04 ESM(Precise Pangolin)、Debian GNU/Linux 9“Stretch”、红帽企业Linux 6、红帽企业Linux 7、CentOS Linux 6、CentOS Linux 7。
建议 以上列出的Linux版本建议尽快更新其系统,确保这些版本使用的是最新的Linux内核版本,然后重新启动电脑激活补丁,请确保你正在为Intel处理器运行最新的微码固件更新。
相关主题 |
