Блог ОС CloudLinux - доступно гибридное ядро ​​СloudLinux 7 и CloudLinux 6 с исправлением уязвимости MDS
Блог CloudLinux OS

Доступно гибридное ядро ​​СloudLinux 7 и CloudLinux 6 с исправлением уязвимости MDS

МДС фиксированной

Версия CloudLinux 7 и CloudLinux 6 для гибридного ядра 3.10.0-962.3.2.lve1.5.25.8 с исправлением для МДС Уязвимость теперь доступна для скачивания из нашего производственного репозитория.

Список изменений:

1.5.25.7

  • CLKRN-446: backport 3.18 stable fixes to CloudLinux 7;
  • CLKRN-417: включить проверку KABI;
  • CLKRN-424: IOPS limits support for the noop IO scheduler;
  • CLKRN-421: fixed ext4 RO remounts;
  • CLKRN-450: xfs: avoid invalid null-pointer dereference;
  • CLKRN-147: fixed ub0 beancounter file lock charge/uncharge balance.

1.5.25.8

  • CLKRN-457: исправить поломку KABI;
  • CLKRN-458: x86 MDS:
    • CVE-2018-12126 MSBDS Микроархитектурный выборочный буфер буфера данных;
    • CVE-2018-12130 MFBDS Микроархитектурная выборка данных буфера заполнения;
    • CVE-2018-12127 MLPDS Микроархитектурная выборка данных порта загрузки;
    • CVE-2019-11091 MDSUM Микроархитектурная выборка данных Некэшируемая память.

Команды для обновления.

CloudLinux 7:

yum upgrade microcode_ctl && yum install kernel-3.10.0-962.3.2.lve1.5.25.8.el7

CloudLinux 6 Hybrid:

yum upgrade microcode_ctl && yum install kernel-3.10.0-962.3.2.lve1.5.25.8.el6h

Смягчение: ядро ​​с патчами MDS + микрокод + отключение Hyper-Threading

В мультитенантных системах, где на хосте отключена гиперпоточность, разные гости не должны иметь доступа к потокам в одном ядре и не должны быть уязвимы. Это повлияет на производительность хоста и общую доступность ресурсов.

В мультитенантных системах, где на узле включена гиперпоточность, а гипервизор уязвим, гости также будут уязвимы, если у них отключена гиперпоточность или нет.

В мультитенантных системах, где на узле включена технология Hyper-Threading, а гипервизор не уязвим, гостям следует рассмотреть возможность отключения Hyper-Threading, чтобы защитить себя.

Диагностика вашей уязвимости

Примените исправления и выполните диагностику уязвимостей, выполнив одну из следующих команд:

# dmesg | grep “MDS:”

OR

# cat /sys/devices/system/cpu/vulnerabilities/mds

Возможные значения в этом файле:

  • Не затронут - процессор не уязвим
  • Уязвимый - процессор уязвим, но смягчение не включено
  • Уязвимость: попытка очистки буферов ЦП - процессор уязвим, но микрокод не обновлен; смягчение включено на основе максимальных усилий
  • Смягчение: очистка буфера процессора - процессор уязвим и включено смягчение очистки буфера процессора
Ядро CloudLinux 6 доступно с исправлением для MD ...
Бета: распределенное реплицированное блочное устройство ядра m ...

Комментарии 8

Привет сэр

kernelcar поддерживает обновление?

привет, сэр, kernelcar поддерживает обновление?

[[Электронная почта защищена]~] # cat / sys / devices / system / cpu / уязвимости / mds
Смягчение: очистить буферы процессора; SMT уязвимы

Нужно ли отключать SMT?

[[Электронная почта защищена]~] # cat / sys / devices / system / cpu / уязвимости / mds Смягчение: очистить буферы процессора; SMT уязвимы Нужно ли отключать SMT?

Лауби Мохамед привет!

Более подробную информацию об обновлении KernelCare вы можете найти в последнем сообщении в блоге команды KC
здесь https://www.kernelcare.com/zombieload/

Лауби Мохамед привет! Более подробную информацию об обновлении KernelCare вы можете найти в последнем сообщении в блоге команды KC здесь https://www.kernelcare.com/zombieload/

Привет AC!
После обновления вашего ядра это не обязательно, но рекомендуется. Ошибка процессора позволяет считывать данные между потоками процессора.
Поэтому включенный HT для VM является дополнительной возможностью атаковать приложение на разных виртуальных машинах.

Привет AC! После обновления вашего ядра это не обязательно, но рекомендуется. Ошибка процессора позволяет считывать данные между потоками процессора. Поэтому включенный HT для VM является дополнительной возможностью атаковать приложение на разных виртуальных машинах.
Гость - Снек в понедельник, 20, май, 2019, 22: 32.

Я не вижу ничего по обеим командам:
[Электронная почта защищена] [~] # dmesg | grep «MDS:»
[Электронная почта защищена] [~] # cat / sys / devices / system / cpu / уязвимости / mds
cat: / sys / devices / system / cpu / уязвимости / mds: нет такого файла или каталога

Но мы также используем kernelcare, поэтому не нужно обновлять микрокод?

Я не вижу ничего по обеим командам: [Электронная почта защищена] [~] # dmesg | grep «MDS:» [Электронная почта защищена] [~] # cat / sys / devices / system / cpu / уязвимости / mds cat: / sys / devices / system / cpu / уязвимости / mds: нет такого файла или каталога, но мы также используем kernelcare, поэтому не нужно обновлять микрокод ?

Привет Снек,

Скорее всего, у вас версия ядра меньше 3.10.0-962.3.2.lve1.5.25.8.el7, потому что именно в этой версии появилась проверка. Вы можете обновить ядро ​​до текущей версии, указанной в посте, и снова запустить проверку.

Привет Снек, Скорее всего у вас версия ядра меньше, чем 3.10.0-962.3.2.lve1.5.25.8.el7, потому что именно в этой версии появилась проверка Вы можете обновить ядро ​​до текущей версии, указанной в посте, и снова запустить проверку.

Вы также можете отслеживать все обновления KernelCare относительно MDS здесь: https://www.kernelcare.com/zombieload/

Вы также можете отслеживать все обновления KernelCare, касающиеся MDS, здесь: https://www.kernelcare.com/zombieload/

Snek,
Если у вас есть KernelCare, вы также должны обновить микрокод.

Snek, если у вас есть KernelCare, вам также следует обновить микрокод.
Уже зарегистрирован? ВОЙТИ
гость
Вторник, 25 июня 2019

Защитный код изображение