Анализ сценария проверки «Призрак» и «Расплавление» от Red Hat

456
Gefolge

Как известно, Red Hat опубликовала скрипт для проверки уязвимости системы к Spectre и Meltdown. Обновление ядра и активация / деактивация некоторых функций достаточны, чтобы избежать этих уязвимостей. Но в результате сценария есть кое-что, чего я не понял.

Вывод сценария проверки

Вы можете видеть, что выходные данные говорят, что уязвимость системы - да для варианта 1 в трех строках под информацией о процессоре. И затем, после этого раздела, вывод говорит, что уязвимость системы не для варианта 1. Есть что-то, что я пропускаю? Я проверяю только "STATUS:" части. Достаточно ли этого, чтобы избежать этой уязвимости?

0
Да, может быть, так. Но я не мог найти решение, чтобы решить эти проблемы. Есть ли что-то, что я должен сделать? Сервер vm, а ESXi не уязвим для Spectre и Meltdown. Gefolge 6 лет назад 0
Какие проблемы? У вас есть исправления ядра. Вы уязвимы перед вариантом Spectre 2. Это имеет смысл, потому что для исправления требуется микрокод: либо один из них применяется постоянно, либо один применяется каждый раз, когда машина загружается в ОС. Ramhound 6 лет назад 0
Спасибо @Ramhound. Я так думаю ничего не могу после обновления. Gefolge 6 лет назад 0
@ Gefolge Что? Ваш последний комментарий очень запутанный. Ненавижу его ломать, но ESXi действительно уязвим к этим уязвимостям. Как и любая ОС уязвима. Тем не менее, VMWare выпустила исправления и прошивку, обратитесь к соответствующей документации для получения дополнительной информации. Источник: Обширные исследования в этой области и опыт работы с VMWare. Ramhound 6 лет назад 0
@Ramhound Мы исправили уязвимость сервера ESXi во втором варианте Spectre. Я знаю, что уязвимость связана с процессором, поэтому все операционные системы находятся в опасном состоянии, но наш ESXi был исправлен, и исправления RHEL для этой виртуальной машины были обновлены. Виртуальные машины Oracle являются зелеными для всех уязвимостей только после «yum update», но Red Hat не может быть «неуязвимой» для Spectre II. Как я понимаю, здесь нет чего-то, чтобы исправить эту уязвимость для Red Hat. Gefolge 6 лет назад 0
«Как я понимаю, для Red Hat нет ничего, что могло бы исправить эту уязвимость». - Какие? Если вы исправили гипервизор, возможно, проблема в самом скрипте. Он был разработан для обнаружения новой инструкции ЦП на физической машине, я связывался с Redhat или выдавал отчет об ошибке, если вы считаете, что это ложное срабатывание. Ramhound 6 лет назад 0
Состояние уязвимости к Варианту Призрака I в норме Состояние уязвимости по Варианту Призрака II НЕ ПРАВИЛЬНО Состояние уязвимости к Расплавлению в норме Я обновил серверы (Oracle и RedHat) с помощью «yum update». Oracle в порядке для всех уязвимостей и нет проблем. Но Red Hat нет. Я думаю, что единственное, что я могу сделать, это создать билет в Red Hat на эту проблему. Еще раз спасибо. Извините мой английский. Gefolge 6 лет назад 0

1 ответ на вопрос

0
Sean Davey

Сценарий сообщает вам, что изначально ваш процессор был уязвим для всех трех эксплойтов, однако для варианта 1 ваш /sysинтерфейс подтверждает (и дважды подтверждает ядро), что вы защищены от этой атаки.

Для варианта 2 я не могу точно вспомнить, что требовалось для его исправления, но, конечно, для этого потребовался некоторый микрокод от вашего производителя микросхем. Но я почти уверен, что для виртуальной машины ESXI ничего не требуется.

(источник: сотрудник Redhat)

Похожие вопросы