Compartir

.

En respuesta a las vulnerabilidades referidas como Meltdown y Spectre las cuales estan identificadas como (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754).

Desde su creacion Appztek siempre ha tenido la seguridad de sus clientes como la primera prioridad. Se han establecido fuertes procesos de analisis y remediacion de vulnerabilidades asi como las mejores practicas en todas sus aplicaciones y sistemas operativos.

Es importante entender que estas vulnerabilidades estan basadas en la arquitectura de los procesadores y afecta multiples tipos de dispositivos desde mobiles hasta servidores de alto rendimiento. Estas vulnerabilidades se mantuvieron en SECRETO debido a un NDA que expiro este pasado 9 de enero y fue publicado por el proyecto Zero de google, referencia aqui.

En Appztek se ha realizado un inventario exhaustivo de los procesadores que forman parte de la aplicacion la mayoria de la infraestrucutra corre en Amazon quien ya ha tomado acciones para reparar este problema, informacion aqui de cualquier forma Appztek tiene la resposabilidad de asegurar sus aplicaciones.

Cada uno de los diferentes sistemas operativos creo sus parches especificos.

Ubuntu

Redhat

Suse

Appztek cuenta con una infraestructura centralizada desde donde se configuran y validan todas las configuraciones de seguridad.

Estas vulnerabilidades en resumen son 3 diferentes vectores de ataque.

 

Spectre

Variant 1

Bounds Check Bypass

CVE-2017-5753

 

Spectre

Variant 2

Branch Target Injection

CVE-2017-5715

 

Meltdown

Variant 3

Rogue Data Cache Load

CVE-2017-5754

Basicamente estas vulnerabilidades permiten hacer un dump del kernel corriendo en una maquina virtual o moverte entre maquinas virtuales para poder leer otras maquinas en la misma hipervisora, es lo que las hace tan peligrosas.

En github hay un script que verifica estas vulnerabilidades, una salida con un kernel ya actualizado se ve de la siguiente forma (todos los sistemas de appztek reporta salidas similares):

 



Spectre and Meltdown mitigation detection tool v0.35

Checking for vulnerabilities on current system
Kernel is Linux
CPU is Intel(R) Xeon(R) CPU E5-2676 v3 @ 2.40GHz

Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: YES
* CPU indicates IBRS capability: NO
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: YES
* CPU indicates IBPB capability: NO
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: YES
* CPU indicates STIBP capability: NO
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: YES (model 63 stepping 2 ucode 0x3b)

The microcode your CPU is running on is known to cause instability problems,
such as intempestive reboots or random crashes.
You are advised to either revert to a previous microcode version (that might not have
the mitigations for Spectre), or upgrade to a newer one if available.

* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES

CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: UNKNOWN (couldn't check (missing 'readelf' tool, please install it, usually it's in the 'binutils' package))
* Kernel has the Red Hat/Ubuntu patch: UNKNOWN (missing 'strings' tool, please install it, usually it's in the binutils package)
* Checking count of LFENCE instructions following a jump in kernel... UNKNOWN (couldn't check (missing 'readelf' tool, please install it, usually it's in the 'binutils' package))
> STATUS: NOT VULNERABLE (Mitigation: OSB (observable speculation barrier, Intel v6))

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: YES
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline)

CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)