UbuntuでSpectreおよびMeltdown関連の脆弱性を解決するには? [コピー]

UbuntuでSpectreおよびMeltdown関連の脆弱性を解決するには? [コピー]

今学んだ衝突とゴースト間違い。私は読んだ:

LinuxにはMeltdownパッチがあります(KPTI(旧KAISER))、Windows、OS X.

引用のリンクをたどると、あまりにも不慣れな文章が見つかりました。それでも、次のように言います。

これ生成されたパッチセット(まだ「KAISER」と呼ばれています)は3回目の改訂を進めており、比較的短い時間内に上流に移動するようです。

上記の引用のリンクをもう一度クリックすると、2017年11月10日に更新されたページに移動し、次の内容を読みました。

KAISERはKASLRを倒すのが難しくなりますが、システムコールと割り込みが遅くなります。このパッチは、ここに掲載されたGraz University of Technologyチームの仕事に基づいています[1]。主な追加は、Andy LutomorskiのPCID操作に基づいて構築され、Intel PCIDのサポートです。4.14。 PCIDは、さまざまなユースケースに対してKAISERのオーバーヘッドを非常に合理的にします。

上のページにも修正コード(?)リンクがありますが、ここ、カーネル4.14も表示されます。

これから、私は修正がカーネル4.14(そしてそれ以上?)にのみ適用されるという結論を下しました。ただし、現在サポートされているすべてのUbuntuバージョンは、より低いカーネルを使用します。

最新のUbuntu(17.10)はカーネル4.13を使用しています。最新のLTS Ubuntu(16.04)は4.4を使用しています。

これは、そのようなバグに対する修正がUbuntuで提供されないことを意味しますか?Ubuntu 18.04は以下に基づいているようです。カーネル 4.15しかし、まだリリースされていません。

さらに、修正はSpectreではなくMeltdownにのみ関連しているようです。これは現在、この種のバグに対する修正がどこにもないことを意味します。

答え1

これは、そのようなバグに対する修正がUbuntuで提供されないことを意味しますか?

この修正は Ubuntu リポジトリではまだ利用できません。確認できますこのページステータスを表示します。このページはUbuntuセキュリティチームによって更新されました。これは両方の脆弱性に関連し、個々のCVEへのリンクを含みます。

答え2

今アップデート可能!

  • 2017年11月9日:UbuntuセキュリティチームはNDAに従ってIntelから通知を受けました。
  • 2018年1月3日:この問題は数日前にCRDによって公開されました。
  • 2018年1月9日:Ubuntuカーネルアップデートが利用可能(Meltdownパッチ用)16.04長期サポート、Ubuntu17.10、Ubuntu14.04LTS(HWE)とUbuntu 14.04 LTS。
  • 2018年1月10日:Meltdownパッチ用のクラウドイメージは、以下で利用できます。http://cloud-images.ubuntu.com:
  • <未定>:コアイメージの更新

源泉:Ubuntu Wiki&ブログ投稿

答え3

前述のように、現在(2018年1月4日)にはUbuntuで利用可能な公式の修正はなく、手動でカーネルを最新バージョンに更新できます。現在、Spectreの既知の修正はないので、カーネルを更新するとMeltdownだけが修正されることに注意してください。カーネルの最新の安定版は4.14.11で、ここからカーネルPPAからコンパイルされたファイルをダウンロードできます。http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.14.11/

あなたのシステム32ビット次のファイルが必要です。

Linuxヘッダ-4.14.11-041411_4.14.11-041411.201801022143_all.deb

linux-headers-4.14.11-041411-generic_4.14.11-041411.201801022143_i386.deb

linux-image-4.14.11-041411-generic_4.14.11-041411.201801022143_i386.deb

あなたのシステム64ビット次のファイルが必要です。

Linuxヘッダ-4.14.11-041411_4.14.11-041411.201801022143_all.deb

linux-headers-4.14.11-041411-generic_4.14.11-041411.201801022143_amd64.deb

linux-image-4.14.11-041411-generic_4.14.11-041411.201801022143_amd64.deb

システムに適した3つのファイルをダウンロードしてフォルダに入れて実行し、sudo dpkg -i *.debコンピュータを再起動します。

考えられるもう1つのことは(私がやった方法です)、ローリングリリースを試すこともできます。アンタゴス(https://antergos.com/)は、インストールを必要とせずにほぼすべてのデスクトップ環境(Unityを除く)を使用でき、Arch Linuxをベースにしているためです。

関連情報