Ubuntu 安全知识库中关于 Meltdown&Spectre 的说明仍然如下:
- 目前 AMD 或 Intel 没有可用的微码更新,这意味着对于用户空间而言,在 x86 CPU 上的 Ubuntu 上,Spectre v2 仍然无法得到缓解。
知识库: 安全团队 / 知识库 / SpectreAndMeltdown | Ubuntu Wiki
这是真的吗?有人能帮忙吗?这个话题变得很复杂,因为同时有太多的补丁和恢复。
如果上述情况属实,那是否意味着 Ubuntu 目前仅能缓解 Meltdown 和 Spectre Variant 1 的影响?
我们正在使用 AWS Cloud 和 Ubuntu 服务器。
最好的,法迪
答案1
这是一个复杂的话题,很难给出真正的“已修补”或“未修补”答案。因此,我将为您提供非常不准确且无用的简短答案,以及一个不太简短的摘要,总结我提供的其余信息。
非常不准确的简短回答是“是也不是”,但它并不能让您清楚地了解实际情况。
我不确定 AWS 使用的是哪种架构,但我猜是i386
或amd64
架构。Spectre 变体 1 和 Meltdown 的补丁在内核中。但 Spectre 变体 2 需要更新稳定的固件/微代码来自制造商 - 英特尔和 AMD。因此,尽管内核包含针对问题的缓解措施,但实际的 CPU 固件需要更新。因此,Spectre 变体 2 并未完全修补。
然而,上述总结实际上并没有准确描述当前针对这些问题的修补状况 - 它只是一个非常基本的总结。
因此,我采用了安全团队知识库提供的数据,并将其制作成 2018 年 3 月 22 日上午 9:48 UTC-4 的页面摘要,便于用户理解。我还只关注 14.04 及更高版本,因为除非您向 Canonical 支付 Ubuntu Advantage 12.04 Precise 系统费用,否则 Precise 已停产,并且对于运行没有此付费支持的 Precise 的用户来说,它几乎无关紧要。
请注意,为了在所有版本中正确解决 Spectre 和 Meltdown 问题,内核和CPU 微码部分必须有缓解措施和更新已发布并纳入。这就是为什么 Spectre Variant 2 本身尚未真正“修补”。
核心:
- 针对 Spectre Variant 1 进行了修补。
- 已修补 Meltdown。
- Spectre 变体 2:
- 内核包含缓解措施
- 仅靠内核缓解措施是不够的,还需要 CPU 固件/微码更新。
CPU 固件/微代码:
ppc64el
并s390x
修补了处理器架构,可从 IBM 获得更新。armhf
并且arm64
大部分不受影响,只有极少数芯片受到影响。i386
并且amd64
没有针对此问题的微码稳定版本。- 英特尔曾发布过微代码更新,但由于引入了系统不稳定问题,这些更新被撤销,详情请参阅USN-3531-2。
- AMD 于 3 月 20 日发布声明称,他们正在开发和分阶段采取针对 Spectre 和 Meltdown 的缓解措施,但尚未发布稳定版本的微代码。
- 概括:尚未发布包含 Spectre 和/或 Meltdown 代码更新的稳定微代码更新版本。
用户空间缓解措施:
一些程序和库在其代码中内置了针对 Spectre 和 Meltdown 的缓解措施,以防止程序或库本身利用这些问题:
- 火狐
- WebKitGTK+
- NVIDIA 显卡驱动程序
- 量子计算单元
libvirt
云图像(这可能不包括 AWS,我也没有检查过):
20180122 之后的 Trusty、Xenial 和 Artful 云镜像(序列号为 20180122)在镜像中包含补丁。但是,根据上述其他部分,云镜像仍然必须遵守上述其余补丁规则等。
本回答最后更新于:2018 年 3 月 22 日上午 10:02