openSUSE - Atualização - Meltdown & Spectre - 26 de janeiro de 2018


Richard Brown informou no canal openSUSE News como esta sendo a atualização para as vulnerabilidades Meltdown e Specter no openSUSE Leap e Tumbleweed, segue abaixo a transcrição.

"Nós liberamos kernels com mitigação inicial de Meltdown e Specter a partir de janeiro.

Para o openSUSE Leap 42.2 e 42.3, lançamos atualizações em 5 de janeiro.

Para o openSUSE Tumbleweed, lançamos os kernels 4.14.11, 4.14.12 e 4.14.13  nas primeiras semanas de janeiro.

Inicialmente, havia alguns erros com esses kernels e binários de 32 bits, que finalmente foram corrigidos com 4.14.13.

O que está atualmente lançado:

- O ataque Meltdown é totalmente atenuado pelo recurso de Isolamento da Tabela de Página do Kernel (KPTI) com as atualizações do Kernel Linux.

- O ataque Specter Variant 1 para o kernel do Linux é atenuado com várias cercas especulativas adicionadas em todo o código do kernel. Podemos adicionar mais caso alguns locais tenham sido perdidos.

- Lançamos as atualizações do Qemu para passar pelas bandejas da CPU para mitigação da Variant 2

- Nós lançamos as atualizações de Firefox, Chromium e Webkit2Gtk3 que removem o vetor de exploração de Javascript para Meltdown e Specter.

O que é parcialmente atenuado:

- The Specter Variant 2 ... As atualizações iniciais do kernel que lançamos exigem atualizações de microcódigo de micrografia.

Embora tenhamos divulgado atualizações para alguns chipsets da Intel e também AMD Ryzen, as atualizações do microcódigo da CPU da Intel foram mais tarde detectáveis ​​e agora foram retraídas.

A Intel está atualmente trabalhando em melhores versões do Microcódigo da CPU, que iremos enviar uma vez que elas se tornem disponíveis.

Para o openSUSE Tumbleweed, revertamos o pacote "ucode-intel" para o estado pré-Specter.

Para o openSUSE Leap 42.2 e 42.3, retraímos os pacotes atualizados "ucode-intel", por isso é necessário o downgrade manualmente se você estiver encontrando problemas como erros do MCE.

Isso pode ser feito por:

- openSUSE Leap 42.2: zypper em -f ucode-intel-20170707-7.6.1
- openSUSE Leap 42.3: zypper em -f ucode-intel-20170707-10.1

O que virá em breve:

- Estamos trabalhando nas atenuações Specter Variant 2 usando os chamados "retpolines" ("trampolins de retorno"), que em grande parte removem a necessidade de mitigação de firmware.

Já lançamos compiladores do sistema gcc48 para Leap e gcc7 para Tumbleweed com suporte para este código

Estamos trabalhando nas atualizações do Kernel do Linux que permitirão o suporte ao retmpoline e, assim, mitigaremos o Variant 2.

- Atualizações XEN

A equipe XEN está desenvolvendo métodos para mitigar Meltdown e Specter e, uma vez que eles estiverem disponíveis, também estaremos lançando atualizações XEN para eles."