Ubuntu:Spectre 变体 2 有缓解措施吗?

Ubuntu:Spectre 变体 2 有缓解措施吗?

Ubuntu 安全知识库中关于 Meltdown&Spectre 的说明仍然如下:

  • 目前 AMD 或 Intel 没有可用的微码更新,这意味着对于用户空间而言,在 x86 CPU 上的 Ubuntu 上,Spectre v2 仍然无法得到缓解。

知识库: 安全团队 / 知识库 / SpectreAndMeltdown | Ubuntu Wiki

这是真的吗?有人能帮忙吗?这个话题变得很复杂,因为同时有太多的补丁和恢复。

如果上述情况属实,那是否意味着 Ubuntu 目前仅能缓解 Meltdown 和 Spectre Variant 1 的影响?

我们正在使用 AWS Cloud 和 Ubuntu 服务器。

最好的,法迪

答案1

这是一个复杂的话题,很难给出真正的“已修补”或“未修补”答案。因此,我将为您提供非常不准确且无用的简短答案,以及一个不太简短的摘要,总结我提供的其余信息。

非常不准确的简短回答是“是也不是”,但它并不能让您清楚地了解实际情况。

我不确定 AWS 使用的是哪种架构,但我猜是i386amd64架构。Spectre 变体 1 和 Meltdown 的补丁在内核中。但 Spectre 变体 2 需要更新稳定的固件/微代码来自制造商 - 英特尔和 AMD。因此,尽管内核包含针对问题的缓解措施,但实际的 CPU 固件需要更新。因此,Spectre 变体 2 并未完全修补。


然而,上述总结实际上并没有准确描述当前针对这些问题的修补状况 - 它只是一个非常基本的总结。

因此,我采用了安全团队知识库提供的数据,并将其制作成 2018 年 3 月 22 日上午 9:48 UTC-4 的页面摘要,便于用户理解。我还只关注 14.04 及更高版本,因为除非您向 Canonical 支付 Ubuntu Advantage 12.04 Precise 系统费用,否则 Precise 已停产,并且对于运行没有此付费支持的 Precise 的用户来说,它几乎无关紧要。

请注意,为了在所有版本中正确解决 Spectre 和 Meltdown 问题,内核CPU 微码部分必须有缓解措施更新已发布并纳入。这就是为什么 Spectre Variant 2 本身尚未真正“修补”。

核心

  • 针对 Spectre Variant 1 进行了修补。
  • 已修补 Meltdown。
  • Spectre 变体 2:
    • 内核包含缓解措施
    • 仅靠内核缓解措施是不够的,还需要 CPU 固件/微码更新。

CPU 固件/微代码

  • ppc64els390x修补了处理器架构,可从 IBM 获得更新。
  • armhf并且arm64大部分不受影响,只有极少数芯片受到影响。
  • i386并且amd64没有针对此问题的微码稳定版本。
    • 英特尔曾发布过微代码更新,但由于引入了系统不稳定问题,这些更新被撤销,详情请参阅USN-3531-2
    • AMD 于 3 月 20 日发布声明称,他们正在开发和分阶段采取针对 Spectre 和 Meltdown 的缓解措施,但尚未发布稳定版本的微代码。
    • 概括:尚未发布包含 Spectre 和/或 Meltdown 代码更新的稳定微代码更新版本。

用户空间缓解措施

一些程序和库在其代码中内置了针对 Spectre 和 Meltdown 的缓解措施,以防止程序或库本身利用这些问题:

  • 火狐
  • WebKitGTK+
  • NVIDIA 显卡驱动程序
  • 量子计算单元
  • libvirt

云图像(这可能不包括 AWS,我也没有检查过)

20180122 之后的 Trusty、Xenial 和 Artful 云镜像(序列号为 20180122)在镜像中包含补丁。但是,根据上述其他部分,云镜像仍然必须遵守上述其余补丁规则等。

本回答最后更新于:2018 年 3 月 22 日上午 10:02

相关内容