SUSE endereça o problema “L1 Terminal Fault”

Share
Share
Há pouco tempo, ficamos sabendo de uma nova vulnerabilidade de Hardware, chamada pela comunidade de segurança de “L1 Terminal fault” (L1TF). Muito parecido com o Meltdown em sua natureza, a vulnerabilidade é sensível ao side-channel-attack durante uma execução, e pode leva a exposição de dados protegidos.

Enquanto uma solução completa apenas pode ser usada em um nível de hardware, os sistemas operacionais podem ajudar a limitar o impacto dessa vulnerabilidade.

A SUSE vai prover updates em todo o SUSE Linux Enterprise Systems (SLES), incluindo MicroOS como parte do SUSE CaaS Platform, em geral e LTSS suporte. Informações detalhadas desses updates podem ser encontradas no SUSE Technical Information Documents: TID 7023077 and TID 7023078.

Parecido com o Meltdown e Spectre, o impacto do L1 Terminal Fault vai depender do ambiente específico do cliente. Abaixo mostramos os cenários possíveis:
Instalação Bare Metal Xen paravirtualizado KVM e Xen ambiente virtualização full
VM conhecidos VM não conhecidas
Sem correção Necessário atualização Necessário atualização Necessário atualização Necessário atualização
Kernel/Hypervisor correção aplicada Talvez as VMs necessitem de correção (usuário não conhecido) Necessita de decisão/escolha do cliente

No geral, as implantações, incluindo ambientes de containers em bare metal, estão seguros uma vez que todos os patches da SUSE estão aplicados, também em implantações virtuais, onde os hosts hospedeiros estão em pleno controle de nossos clientes e parceiros.

Nos ambientes virtualizados, onde os clientes não estão no controle total do sistema operacional do convidado (virtual machine), pode ser necessário limitar os recursos SMT (Simultaneous Multithreading) do sistema a 1/3 por núcleo ou desabilitar tabelas de páginas estendidas (EPT). Dependendo da pilha de aplicativos, cada atenuação pode ter um impacto sobre o desempenho geral do sistema.

Os clientes estão avisados a rever seus ambientes e ameaças junto com o time de segurança.

 Detalhes adicionais de vulnerabilidades específicas estão nos relatórios CVE:

https://www.suse.com/security/cve/CVE-2018-3615/

https://www.suse.com/security/cve/CVE-2018-3620/

https://www.suse.com/security/cve/CVE-2018-3646/

A pesquisa sobre esses problemas continua através da indústria, optimizações adicionais e informação podem aparecer. Nós vamos continuar dando detalhes de updates neste blog e em páginas especializadas. Gostaríamos de agradecer a todos os da Comunidade do kernel Linux upstream e nossos parceiros da indústria, cuja paixão, dedicação e colaboração foram fundamentais para abordar este problema.

Share
(Visited 18 times, 1 visits today)

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

No comments yet

Avatar photo
8.324 views