intel CPU 보안취약점 발견에 따른 대처요령
얼마전 Google Project Zero 팀에서 Intel社, AMD社, ARM社 CPU 제품의 취약점이 발견 되었다고 발표한 이후 파장이 지속되고 있습니다.
Google Project Zero 팀 블로그 바로가기
https://googleprojectzero.blogspot.kr/2018/01/reading-privileged-memory-with-side.html
문제가 된 내용은 아래 3가지 이슈로
- Variant 1: bounds check bypass (CVE-2017-5753)
- Variant 2: branch target injection (CVE-2017-5715)
- Variant 3: rogue data cache load (CVE-2017-5754)
핵심은 CPU의 부채널 공격(side channel attack)으로 인해 캐시 메모리의 저장된 정보가 노출되는 취약점 입니다.
- Spectre(스펙터, CVE-2017-5753, CVE-2017-5715)
- Meltdown (멜트다운, CVE-2017-5754)
해결방안은 칩셋 제조사및 OS 개발사에서 제공하는 업데이트를 적용하는 방법 입니다.
패치이후 CPU 성능저하 논란이 계속해서 일어나고 있는 상황이지만
인텔 측에서는 벤치마크 자료를 공개하고 성능저하는 미미한 차이라는 입장을 고수하고 있습니다.
원본출처 바로가기
https://newsroom.intel.com/editorials/intel-security-issue-update-initial-performance-data-results-client-systems/
아래는 보호나라 기준 제조사별 패치현황 입니다. (2018년 1월 18일 기준)
제조사 | 패치 현황 | 배포 여부 |
Amazone | 패치 버전 배포(‘18.1.14)[2] | 배포완료 |
AMD | 장비 제조사 및 OS 개발사를 통해 패치 권고 [3] | 배포중 |
Apple | iOS, macOS 등 멜트다운 취약점에 대한 패치버전 배포(’17.12.7) | 배포중 |
iOS, macOS 등 스펙터 취약점에 대한 패치버전 배포 예정 [4] ※ Apple Safari, WebKit 는 패치 완료('18.1.9) | 배포예정 | |
ARM | 패치 버전 배포(’18.1.4) [5] | 배포중 |
CentOS | 패치 버전 배포(‘18.1.6) [6] | 배포중 |
Chromium | 패치버전 배포 예정(‘18.1.24) [7] | 배포예정 |
Cisco | 패치 버전 배포(‘18.1.4) [8] | 배포중 |
Citrix | 패치 버전 배포(’18.1.6) [9] | 배포중 |
Debian | 패치 버전 배포(’18.1.4) [10] | 배포중 |
Dragonfly BSD | 패치 버전 배포(’18.1.6) [11] | 배포중 |
F5 | 패치 버전 배포(’18.1.6) [12] | 배포중 |
Fedora | 패치 버전 배포(’18.1.5) [13] | 배포중 |
Fortinet | 패치 버전 배포(’18.1.5) [14] | 배포중 |
Android, Chrome 등 패치버전 배포(’18.1.6) [15][16] ※ Android의 경우 스마트폰 제조사별로 배포일자가 다를 수 있음 | 배포중 | |
Huawei | 패치 버전 배포(’18.1.5) [17] | 배포중 |
IBM | 장비 제조사 및 OS 개발사를 통해 패치 권고(’18.1.4) [18][19] | 배포중 |
Intel | 패치 버전 배포(‘18.1.4) [20][21] | 배포중 |
Juniper | 패치 버전 배포(’18.1.9) [22] | 배포중 |
Lenovo | 패치 버전 배포(’18.1.5) [23] | 배포중 |
Linux | 패치 버전 배포(’18.1.4) [24] | 배포중 |
Microsoft | (PC) Windows 7, 8.1, 10 (Server) 2008, 2008 R2, 2012, 2012 R2, 2016 Azure 대상 패치 배포(’18.1.4) [25][26] ※ AMD 제품 패치에 이슈가 있어 중단(1.10)했으나 다시 배포(1.11)[27] | 배포중 |
Mozilla | 패치 버전 배포(’18.1.4) [28] | 배포중 |
NetApp | 패치 버전 배포(’18.1.6) [29] | 배포중 |
Netgear | 패치 버전 배포 예정 [30] | 배포예정 |
Nutanix | 패치 버전 배포(’18.1.11) [31] | 배포중 |
NVIDIA | 패치 버전 배포(’18.1.4) [32] | 배포중 |
OpenSuSE | 패치 버전 배포(‘18.1.5) [33] | 배포중 |
Oracle | 패치 버전 배포(‘18.1.16) [34] | 배포중 |
Qubes | 패치 버전 배포(‘18.1.5) [35] | 배포중 |
Red Hat | 패치 버전 배포(‘18.1.4) [36] | 배포중 |
SuSE | 패치 버전 배포(‘18.1.3) [37] | 배포중 |
Synology | 패치 버전 배포(‘18.1.5) [38] | 배포중 |
Trend Micro | 패치 버전 배포(‘18.1.4) [39] | 배포중 |
Ubuntu | 패치 버전 배포(‘18.1.4) [40] | 배포중 |
VMware | 패치버전 배포(’18.1.4) [41] | 배포중 |
Xen | 패치버전 배포(’18.1.4) [42] | 배포중 |
보호나라 공지 바로가기
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26929
[참고사이트]
[1] https://googleprojectzero.blogspot.kr/2018/01/reading-privileged-memory-with-side.html
[2] https://aws.amazon.com/ko/security/security-bulletins/AWS-2018-013/
[3] http://www.amd.com/en/corporate/speculative-execution
[4] https://support.apple.com/en-us/HT208394
[5] https://developer.arm.com/support/security-update
[6] https://lists.centos.org/pipermail/centos-announce/2018-January/date.html
[7] https://www.chromium.org/Home/chromium-security/ssca
[8] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel
[9] https://support.citrix.com/article/CTX231390
[10] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886367
[11] http://lists.dragonflybsd.org/pipermail/users/2018-January/313758.html
[12] https://support.f5.com/csp/article/K91229003
[13] https://fedoramagazine.org/protect-fedora-system-meltdown/
[14] https://fortiguard.com/psirt/FG-IR-18-002
[15] https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
[16] http://source.android.com/security/bulletin/2018-01-01
[17] http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en
[18] https://securityintelligence.com/cpu-vulnerability-can-allow-attackers-to-read-privileged-kernel-memory-and-leak-data/
[19] https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family/
[20] https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
[21] https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
[22] https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10842&cat=SIRT_1&actp=LIST
[23] https://support.lenovo.com/us/en/solutions/len-18282
[24] https://lkml.org/lkml/2017/12/4/709
[25] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
[26] https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
[27] https://support.microsoft.com/en-us/help/4073707/
[28] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[29] https://security.netapp.com/advisory/ntap-20180104-0001/
[30] http://info.nutanix.com/TA5G00u0C000PVD00O0A8Q0
[31] https://kb.netgear.com/000053240
[32] http://nvidia.custhelp.com/app/answers/detail/a_id/4609
[33] https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html
[34] http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
[35] https://www.qubes-os.org/news/2018/01/04/xsa-254-meltdown-spectre/
[36] https://access.redhat.com/security/vulnerabilities/speculativeexecution?sc_cid=701f2000000tsLNAAY&
[37] http://lists.suse.com/pipermail/sle-security-updates/2018-January/date.html
[38] https://www.synology.com/en-us/support/security/Synology_SA_18_01
[39] https://success.trendmicro.com/solution/1119183
[40] https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
[41] https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
[42] http://xenbits.xen.org/xsa/advisory-254.html
댓글
댓글 쓰기