purzelbaum
unsere besten emails

Satclub-Thueringen

RSS feed for this site
Registrierung Suche Zur Startseite

Satclub-Thueringen » PC - Hard- & Software » Viren & Sicherheit » Neue Linux-Kernel schützen vor CPU-Lücken ZombieLoad aka MDS » Hallo Gast [[Anmelden]|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Neue Linux-Kernel schützen vor CPU-Lücken ZombieLoad aka MDS
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

Muad'Dib   Zeige Muad'Dib auf Karte Muad'Dib ist männlich Steckbrief
.:.Carpe.Diem.:.


images/avatars/avatar-505.jpg

Dabei seit: 12.06.2007
Beiträge: 5.511
Herkunft: 51°N/11.5°E Jena/Thuringia




Daumen hoch! Neue Linux-Kernel schützen vor CPU-Lücken ZombieLoad aka MDS Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Der Linux-Kernel geht jetzt gegen Intels neueste Prozessorlücken vor. Den mit derlei einhergehenden Performance-Einfluss kann man jetzt leichter vermeiden.





Innerhalb einer Stunde haben die Linux-Entwickler einen Schwung neuer Kernel-Versionen freigegeben, um die neuesten, am Dienstagabend bekannt gewordenen Sicherheitslücken in vielen modernen Intel-Prozessoren zu stopfen. Um sich vor diesen "ZombieLoad" oder "Microarchitectural Data Sampling" (MDS) genannten Lücken zu schützen, müssen Linux-Anwender ähnlich vorgehen wie im vergangenen August bei der Prozessorlücke Foreshadow/L1TF: Prozessor-Microcode und Kernel aktualisieren, sowie gegebenenfalls noch Qemu und Libvirt stopfen, wenn man mit dem Kernel-eigenen Hypervisor KVM virtualisiert.

Für vollen Schutz müssen Anwender Hyper-Threading deaktivieren.


Die MDS-Gegenmaßnamen kann man über einen neuen Kernel-Parameter leicht ein- und ausschalten, denn ähnlich wie bei früheren Prozessorlücken können sie offenbar in manchen Fällen die Performance verschlechtern. Das gilt um so mehr, wenn man vollständig auf der sicheren Seite sein will, denn vollen Schutz erhält man erst, wenn man Hyper-Threading (HT) über das BIOS-Setup oder einen Kernel-Parameter deaktiviert. Das ist vor allem für Umgebungen wichtig, wo Fremde eigenen Code einbringen können; etwa bei Cloud-Providern, wo Kunden virtuelle Maschinen (VMs) mit Malware starten können, um darüber VMs anderen Kunden anzugreifen, die auf demselben Host laufen.

Korrigierte Linux-Versionen innerhalb einer Stunde

Kaum eine Stunde nach Bekanntgabe der Lücken waren die Quellen neuer Stable- und Longterm-Kernel mit Gegenmaßnahmen für die MDS-Lücken erhätlich. Damit hat Intel diesmal deutlich besser mit der Linux-Community zusammengearbeitet als bei den Spectre- und Meltdown-Lücken Anfang 2018; damals hat es aufgrund zahlreicher Abstimmungsprobleme und verschiedenen Lösungsansätzen mehrere Wochen gedauert, bis die offiziellen Linux-Versionen von Kernel.org einen Schutz vor Spectre v2 mitbrachten.

Über den neuen Kernel-Parameter mds= kann man festlegen, wie stark der Schutz greifen soll.


Die MDS-Gegenmaßnahmen flossen nun zuerst in den Hauptentwicklungszweig von Linux ein, wo derzeit Linux 5.2 vorbereitet wird. Sie bestehen aus 23 Patches, die unter anderem ein Dokument nachrüsten, das die wichtigsten Informationen zu MDS und den neuen Schutzfunktionen von Linux näher erläutert. Die Änderungen bringen auch Unterstützung für den neuen Kernel-Parameter mds=[full|full,nosmt|off], mit dem man den Schutz ein- und ausschalten kann; ferner ist es darüber auch möglich, gleich Hyper-Threading lahmzulegen.
Man kann jetzt im Sysfs nachsehen, wie Linux gegen MDS schützt.


Durch die Änderungen stellt der Kernel jetzt zudem die Datei /sys/devices/system/cpu/vulnerabilities/mds bereit, über die man nachsehen kann, wie der Kernel gegen die Lücke vorgeht. Ihr Inhalt weist etwa darauf hin, wenn dem Microcode noch die MDS-Schutzfunktion fehlt, denn dann versucht der Kernel mit anderen Tricks vor den neuen Lücken zu schützen.

Einfach alle Gegenmaßnahmen für Prozessorlücken lahmlegen

Direkt nach Aufnahme in den Hauptentwicklungszweig haben die Entwickler auch neue Stable- und Longterm-Kernel veröffentlicht, die die MDS-Gegenmaßnahmen ebenfalls mitbringen: Linux 5.1.2, 5.0.16, 4.19.43, 4.9.176 und 4.14.119.

Die enthalten zudem sieben weitere Patches, die den den neuen Kernel-Parameter mitigations=[auto|auto,nosmt|off] nachrüsten. Mit ihm kann man die Performance steigern, denn es legt Kernel-eigene Schutztechniken wie PTI oder Retpoline lahm; als solche, die vor Prozessorlücken wie Spectre v1 & v2, Meltdown, SSB, L1TF und MDS schützen, die in den letzten eineinhalb Jahren bekannt geworden sind. Diese Gegenmaßnahmen aufzugehen kann für Umgebungen interessant sein, wo ohnehin nur vollkommen vertrauenswürdiger Code ausgeführt wird.

Viele oder alle der genannten Änderungen dürften in den nächsten Tagen und Wochen in vielen Linux-Distributionen ankommen, denn deren Macher integrieren solch sicherheitsrelevante Änderungen typischerweise in ihre Kernel, die oft auf älteren Versionen aufbauen, die die Entwickler von Kernel.org nicht mehr Pflegen. Erste Distributionen liefern diese Änderungen sogar schon aus. (thl)


Quelle: https://heise.de/-4422245

__________________
***Multifeed Triax Unique 3°E>28°E & motorized FiboStøp120***
F-16, Mio 4K, OpenBoxen, VU+Solo 4K & Blindscan, DVB-S2X/T2 Cards

Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
CARPE DIEM!Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
15.05.2019 12:27 Muad'Dib ist online E-Mail an Muad'Dib senden Beiträge von Muad'Dib suchen Nehmen Sie Muad'Dib in Ihre Freundesliste auf

Neues Thema erstellen Antwort erstellen
Satclub-Thueringen » PC - Hard- & Software » Viren & Sicherheit » Neue Linux-Kernel schützen vor CPU-Lücken ZombieLoad aka MDS Baumstruktur | Brettstruktur

Views heute: 31.037 | Views gestern: 66.085 | Views gesamt: 140.623.263


Partner


Satclub Thüringen seit 01.07.1992 = Online seit Tage

Hier The Satlinklist
Bord Blocks: 188.956 | Spy-/Malware: 13.816 | Bad Bot: 1.507 | Flooder: 141
CT Security System Pre 6.0.1: © 2006-2007 Frank John
  Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH .: Impressum :.