CloudLinux OS Blog - доступно ядро ​​CloudLinux 6 с исправлением уязвимости MDS
Блог CloudLinux OS

Ядро CloudLinux 6 доступно с исправлением уязвимости MDS

МДС фиксированной

Версия ядра CloudLinux 6 2.6.32-954.3.5.lve1.4.64 с исправлением для МДС Уязвимость теперь доступна для скачивания из нашего производственного репозитория.

Список изменений:

  • CKSIX-218: x86 MDS смягчения ::
    • CVE-2018-12126 MSBDS Микроархитектурный выборочный буфер буфера данных;
    • CVE-2018-12130 MFBDS Микроархитектурная выборка данных буфера заполнения;
    • CVE-2018-12127 MLPDS Микроархитектурная выборка данных порта загрузки;
    • CVE-2019-11091 MDSUM Микроархитектурная выборка данных Некэшируемая память.

Команды для обновления.

CloudLinux 6:

yum upgrade microcode_ctl && yum install kernel-2.6.32-954.3.5.lve1.4.64.el6

Смягчение: ядро ​​с патчами MDS + микрокод + отключение Hyper-Threading

В мультитенантных системах, где на хосте отключена гиперпоточность, разные гости не должны иметь доступа к потокам в одном ядре и не должны быть уязвимы. Это повлияет на производительность хоста и общую доступность ресурсов.

В мультитенантных системах, где на узле включена гиперпоточность, а гипервизор уязвим, гости также будут уязвимы, если у них отключена гиперпоточность или нет.

В мультитенантных системах, где на узле включена технология Hyper-Threading, а гипервизор не уязвим, гостям следует рассмотреть возможность отключения Hyper-Threading, чтобы защитить себя.

Диагностика вашей уязвимости

Примените исправления и выполните диагностику уязвимостей, выполнив одну из следующих команд:

# dmesg | grep “MDS:”

OR

# cat /sys/devices/system/cpu/vulnerabilities/mds

Возможные значения в этом файле:

  • Не затронут - процессор не уязвим
  • Уязвимый - процессор уязвим, но смягчение не включено
  • Уязвимость: попытка очистки буферов ЦП - процессор уязвим, но микрокод не обновлен; смягчение включено на основе максимальных усилий
  • Смягчение: очистка буфера процессора - процессор уязвим и включено смягчение очистки буфера процессора

Больше информации, связанной МДС вы можете найти в последнее сообщение в блоге от команды KernelCare

Microcode_ctl обновлен
СloudLinux 7 и CloudLinux 6 Гибридное ядро ​​доступно ...

Комментарии 2

Гость - Деян в понедельник, 20, май, 2019, 22: 56.

Здравствуйте,

Подскажите, пожалуйста, почему вы не предлагаете установить или обновить пакет microcode_ctl с ядром CL6, как вы делаете с ядром CL7?

Есть ли для этого веская причина, или вы просто забыли добавить это в инструкции по установке CL6 ...?

Здравствуйте, подскажите, пожалуйста, почему вы не предлагаете установить или обновить пакет microcode_ctl с ядром CL6, как вы делаете с ядром CL7? Есть ли для этого веская причина, или вы просто забыли добавить это в инструкции по установке CL6 ...?

Привет Деян,

Честно говоря, мы пропустили microcode_ctl в нашей команде обновления. Извините за это - уязвимость MDS создала слишком много шума.

На данный момент я обновил команду обновления.

Спасибо за ваше внимание и участие, и еще раз, пожалуйста, примите наши извинения.

Привет Деян, честно говоря, мы пропустили microcode_ctl в нашей команде обновления. Извините за это - уязвимость MDS создала слишком много шума. На данный момент я обновил команду обновления. Спасибо за ваше внимание и участие, и еще раз, пожалуйста, примите наши извинения.
Уже зарегистрирован? ВОЙТИ
гость
Пятница, 19 июля 2019

Защитный код изображение