如何修复 Ubuntu 中与 Spectre 和 Meltdown 相关的漏洞?

如何修复 Ubuntu 中与 Spectre 和 Meltdown 相关的漏洞?

我刚刚了解到崩溃与幽灵错误。我读到:

Linux 上有针对 Meltdown 的补丁(KPTI(以前称为 KAISER))、Windows 和 OS X。

通过引用中的链接,我看到了一篇对我来说太晦涩难懂的文章。尽管如此,它还是说:

生成的补丁集(仍称为“KAISER”)正在进行第三次修订,似乎有可能在相对较短的时间内向上游发展。

再次点击上述引用中的链接,我进入了一个于 2017 年 11 月 10 日更新的页面,我在其中读到了以下内容:

KAISER 使击败 KASLR 变得更加困难,但使系统调用和中断速度变慢。这些补丁基于此处发布的格拉茨科技大学团队的工作[1]。主要的补充是对 Intel PCID 的支持,它建立在 Andy Lutomorski 的 PCID 工作之上,合并为4.14。 PCID 使 KAISER 的开销对于各种用例来说都非常合理。

上面的页面还链接到修复代码(?),这里,在那里我还可以看到内核 4.14。

由此我得出结论,该修复仅适用于内核 4.14(及更高版本?)。然而,当前所有受支持的 Ubuntu 版本都使用较低的内核。

最新的 Ubuntu (17.10) 使用内核 4.13。最新的 LTS Ubuntu (16.04) 使用 4.4。

这是否意味着此类错误的修复不适用于 Ubuntu?看来Ubuntu 18.04将基于内核4.15,但这还没有发布。

另请注意,该修复似乎仅涉及 Meltdown 而不是 Spectre。这意味着目前任何地方都无法修复此类错误。

答案1

这是否意味着此类错误的修复不适用于 Ubuntu?

Ubuntu 存储库中尚未提供此修复程序。你可以检查这一页查看状态。该页面由 Ubuntu 安全团队更新。它与这两个漏洞有关,包含各个 CVE 的链接。

答案2

现已提供更新!

  • 2017年11月9日:Ubuntu 安全团队已收到 Intel 根据 NDA 的通知
  • 2018年1月3日:问题在 CRD 前几天公开
  • 2018年1月9日:Ubuntu 内核更新可用(用于修补 Meltdown)16.04长期支持、Ubuntu17.10, 乌班图14.04LTS (HWE) 和 Ubuntu 14.04 LTS。
  • 2018年1月10日:可从以下位置获取云映像(用于修补 Meltdown)http://cloud-images.ubuntu.com:
  • <待定>:核心镜像更新

来源 :乌班图维基&博客文章

答案3

如前所述,截至目前(2018 年 1 月 4 日),Ubuntu 还没有可用的官方修复程序,您可以手动将内核更新到最新版本。请记住,更新内核只会修复 Meltdown,因为目前还没有针对 Spectre 的已知修复方法。最新的内核稳定版本是 4.14.11,您可以从此处的 Kernel PPA 下载编译后的文件:http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.14.11/

如果您的系统是32位你会需要这些文件:

linux-headers-4.14.11-041411_4.14.11-041411.201801022143_all.deb

linux-headers-4.14.11-041411-generic_4.14.11-041411.201801022143_i386.deb

linux-image-4.14.11-041411-generic_4.14.11-041411.201801022143_i386.deb

如果您的系统是64位你会需要这些文件:

linux-headers-4.14.11-041411_4.14.11-041411.201801022143_all.deb

linux-headers-4.14.11-041411-generic_4.14.11-041411.201801022143_amd64.deb

linux-image-4.14.11-041411-generic_4.14.11-041411.201801022143_amd64.deb

只需下载适合您系统的三个文件,将它们放在一个文件夹中并执行sudo dpkg -i *.deb,然后重新启动您的电脑。

您可以考虑的另一件事(这就是我所做的),您可以尝试使用滚动发行版。安特戈斯 (https://antergos.com/)非常棒,因为它允许您无需设置即可使用几乎任何桌面环境(Unity 除外),并且它基于 Arch Linux。

相关内容