Canonical发布重要的Ubuntu内核实时补丁来修复L1TF,SpectreRSB
Canonical为其所有受支持的Ubuntu Linux操作系统发布了一个新的内核实时补丁,以解决最近由各种研究人员发现的几个关键安全漏洞。
适用于Ubuntu 18.04 LTS(Bionic Beaver),Ubuntu 16.04 LTS(Xenial Xerus)和Ubuntu 14.04 LTS(Trusty Tahr)操作系统系列,新的Linux内核实时补丁现已推出给Canonical Livepatch Service的所有用户。它修补了七个安全漏洞,包括众所周知的L1终端故障(L1TF)/Foreshadow和SpectreRSB漏洞。
此新内核实时补丁中修复的两个L1FT漏洞是 CVE-2018-3620 和 CVE-2018-3646,但它也解决了一个缺陷,降低了对于半虚拟客户(CVE-2018-15594)的Spectre Variant 2缓解的有效性。 IRDA实施中的免费使用后漏洞(CVE-2018-6555),以及iSCSI目标实施(CVE-2018-14633)中基于堆栈的关键缓冲区溢出。
此外,新的内核livepatch修复了最近发现的名为SpectreRSB(CVE-2018-15572)的CPU侧通道攻击,该攻击通过返回堆栈缓冲区(RSB)影响利用推测执行和返回地址预测的微处理器,允许攻击者暴露敏感信息,以及vmacache子系统(CVE-2018-17182)中的释放后使用漏洞。
敦促所有用户立即更新其安装
如果你没有安装上周的内核安全更新,并且你在64位Ubuntu PC上使用Canonical Livepatch Service,那么现在可以将无重启的内核livepatch更新到版本44.1和44.2。对于Ubuntu 18.04 LTS用户,新内核版本为linux-image 4.15.0-34.37,对于Ubuntu 16.04.5 LTS HWE用户,linux-image为4.15.0-34.37~16.04.1,linux-image为4.4.0-135.161~ 14.04.1 for Ubuntu 14.04.5 LTS HWE用户。
“请注意,由于客户端问题,此livepatch可能会报告无法加载。您可以通过在/sys/kernel/livepatch中查找以名称”lkp_Ubuntu“开头的目录来验证补丁是否已成功加载,然后你的内核版本,以及版本号“44”结束。下一个客户端更新应该纠正这个问题,“阅读安全建议。