본문 바로가기

Programming/Linux

intel CPU 보안취약점 발견에 따른 대처요령

반응형


얼마전 Google Project Zero 팀에서 Intel社, AMD社, ARM社 CPU 제품의 취약점이 발견 되었다고 발표한 이후 파장이 지속되고 있습니다.


Google Project Zero 팀 블로그 바로가기
https://googleprojectzero.blogspot.kr/2018/01/reading-privileged-memory-with-side.html


문제가 된 내용은 아래 3가지 이슈로

  • Variant 1: bounds check bypass (CVE-2017-5753)
  • Variant 2: branch target injection (CVE-2017-5715)
  • Variant 3: rogue data cache load (CVE-2017-5754)

핵심은 CPU의 부채널 공격(side channel attack)으로 인해 캐시 메모리의 저장된 정보가 노출되는 취약점 입니다.


- Spectre(스펙터, CVE-2017-5753, CVE-2017-5715)
- Meltdown (멜트다운, CVE-2017-5754)


해결방안은 칩셋 제조사및 OS 개발사에서 제공하는 업데이트를 적용하는 방법 입니다.

패치이후  CPU 성능저하 논란이 계속해서 일어나고 있는 상황이지만
인텔 측에서는 벤치마크 자료를 공개하고 성능저하는  미미한 차이라는 입장을 고수하고 있습니다.

​Intel benchmark results (click to enlarge)

원본출처 바로가기
https://newsroom.intel.com/editorials/intel-security-issue-update-initial-performance-data-results-client-systems/



아래는 보호나라 기준  제조사별 패치현황 입니다. (2018년 1월 18일 기준)
제조사패치 현황배포 여부
Amazone패치 버전 배포(‘18.1.14)[2]배포완료
AMD장비 제조사 및 OS 개발사를 통해 패치 권고 [3]배포중
AppleiOS, macOS 등 멜트다운 취약점에 대한 패치버전 배포(’17.12.7)배포중
iOS, macOS 등 스펙터 취약점에 대한 패치버전 배포 예정 [4]
※ Apple Safari, WebKit 는 패치 완료('18.1.9)
배포예정
ARM패치 버전 배포(’18.1.4) [5]배포중
CentOS패치 버전 배포(‘18.1.6) [6]배포중
Chromium패치버전 배포 예정(‘18.1.24) [7]배포예정
Cisco패치 버전 배포(‘18.1.4) [8]배포중
Citrix패치 버전 배포(’18.1.6) [9]배포중
Debian패치 버전 배포(’18.1.4) [10]배포중
Dragonfly
BSD
패치 버전 배포(’18.1.6) [11]배포중
F5패치 버전 배포(’18.1.6) [12]배포중
Fedora패치 버전 배포(’18.1.5) [13]배포중
Fortinet패치 버전 배포(’18.1.5) [14]배포중
GoogleAndroid, Chrome 등 패치버전 배포(’18.1.6) [15][16]
※ Android의 경우 스마트폰 제조사별로 배포일자가 다를 수 있음
배포중
Huawei패치 버전 배포(’18.1.5) [17]배포중
IBM장비 제조사 및 OS 개발사를 통해 패치 권고(’18.1.4) [18][19]배포중
Intel패치 버전 배포(‘18.1.4) [20][21]배포중
Juniper패치 버전 배포(’18.1.9) [22]배포중
Lenovo패치 버전 배포(’18.1.5) [23]배포중
Linux패치 버전 배포(’18.1.4) [24]배포중
Microsoft(PC) Windows 7, 8.1, 10
(Server) 2008, 2008 R2, 2012, 2012 R2, 2016
Azure 대상 패치 배포(’18.1.4) [25][26]
※ AMD 제품 패치에 이슈가 있어 중단(1.10)했으나 다시 배포(1.11)[27]
배포중
Mozilla패치 버전 배포(’18.1.4) [28]배포중
NetApp패치 버전 배포(’18.1.6) [29]배포중
Netgear패치 버전 배포 예정 [30]배포예정
Nutanix패치 버전 배포(’18.1.11) [31]배포중
NVIDIA패치 버전 배포(’18.1.4) [32]배포중
OpenSuSE패치 버전 배포(‘18.1.5) [33]배포중
Oracle패치 버전 배포(‘18.1.16) [34]배포중
Qubes패치 버전 배포(‘18.1.5) [35]배포중
Red Hat패치 버전 배포(‘18.1.4) [36]배포중
SuSE패치 버전 배포(‘18.1.3) [37]배포중
Synology패치 버전 배포(‘18.1.5) [38]배포중
Trend
Micro
패치 버전 배포(‘18.1.4) [39]배포중
Ubuntu패치 버전 배포(‘18.1.4) [40]배포중
VMware패치버전 배포(’18.1.4) [41]배포중
Xen패치버전 배포(’18.1.4) [42]배포중


보호나라 공지 바로가기
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26929



[참고사이트]
[1] https://googleprojectzero.blogspot.kr/2018/01/reading-privileged-memory-with-side.html
[2] https://aws.amazon.com/ko/security/security-bulletins/AWS-2018-013/
[3] http://www.amd.com/en/corporate/speculative-execution
[4] https://support.apple.com/en-us/HT208394
[5] https://developer.arm.com/support/security-update
[6] https://lists.centos.org/pipermail/centos-announce/2018-January/date.html
[7] https://www.chromium.org/Home/chromium-security/ssca
[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel
[9] https://support.citrix.com/article/CTX231390
[10] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886367
[11] http://lists.dragonflybsd.org/pipermail/users/2018-January/313758.html
[12] https://support.f5.com/csp/article/K91229003
[13] https://fedoramagazine.org/protect-fedora-system-meltdown/
[14] https://fortiguard.com/psirt/FG-IR-18-002
[15] https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
[16] http://source.android.com/security/bulletin/2018-01-01
[17] http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en
[18] https://securityintelligence.com/cpu-vulnerability-can-allow-attackers-to-read-privileged-kernel-memory-and-leak-data/
[19] https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family/
[20] https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
[21] https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
[22] https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10842&cat=SIRT_1&actp=LIST
[23] https://support.lenovo.com/us/en/solutions/len-18282
[24] https://lkml.org/lkml/2017/12/4/709
[25] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
[26] https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
[27] https://support.microsoft.com/en-us/help/4073707/
[28] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[29] https://security.netapp.com/advisory/ntap-20180104-0001/
[30] http://info.nutanix.com/TA5G00u0C000PVD00O0A8Q0
[31] https://kb.netgear.com/000053240
[32] http://nvidia.custhelp.com/app/answers/detail/a_id/4609
[33] https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html
[34] http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
[35] https://www.qubes-os.org/news/2018/01/04/xsa-254-meltdown-spectre/
[36] https://access.redhat.com/security/vulnerabilities/speculativeexecution?sc_cid=701f2000000tsLNAAY&
[37] http://lists.suse.com/pipermail/sle-security-updates/2018-January/date.html
[38] https://www.synology.com/en-us/support/security/Synology_SA_18_01
[39] https://success.trendmicro.com/solution/1119183
[40] https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
[41] https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
[42] http://xenbits.xen.org/xsa/advisory-254.html