라벨이 intel인 게시물 표시

[AWS] Ubuntu instance Kernel Update

이미지
지난 포스팅을 통해서 Intel CPU 보안 취약점 발견에 따른 OS 별 대처방법에 대해 살펴보았습니다.

지난포스팅 보러가기

오늘은 AWS 에서 사용중인 Ubuntu 서버의 보안취약점 대응을 위한 Patch 작업을 진행해 보도록 하겠습니다.

우선 현재 운영중인 Ubuntu 섭서의 Kernel 버전을 확인해 보겠습니다.

Krenel 버전 확인을 위해 명령어를 입력합니다.


1 $  uname –r  cs




다음은 패키지 정보 리스트를 최신으로 업데이트 합니다.


1 $ sudo apt-get update cs



다음은 패키지 관리자 리스트에서 리눅스 커널의 이미지 버전을 검색합니다.

1 $ apt-cache search linux-image cs



AWS 환경에서 운영되은 Instance 이므로 AWS 용 Lunux 커널을 사용해야합니다.
linux-aws - Amazon Web Services (AWS) 시스템 용 Linux 커널linux-euclid - Intel Euclid 시스템 용 Linux 커널

AWS 시스템용 Linux 커널 중 최신 버전인 1049 버전을 사용해서 업데이트를 진행하도록 하겠습니다.


1 $ sudo apt-get install linux-image-4.4.0-1049-aws cs

업데이트 작업 시도중 위와 같이 에러가 발생한다면

아래와 같이 명령어를실행한 이후 다시 업데이트 작업을 진행 합니다.

1 $ sudo apt-get –f install cs


작업 진행 중 추가 디스크 용량이 필요하다는 메시지가 출력됩니다.
“Y” 를 입력합니다.



다시 커널 업데이트 작업를 진행 합니다.
작업이 완료후 서버를  재부팅  하면 최신 커널 버전으로 업데이트 되는것 을 확인할 수 있습니다.


intel CPU 보안취약점 발견에 따른 대처요령

이미지
얼마전 Google Project Zero 팀에서 Intel社, AMD社, ARM社 CPU 제품의 취약점이 발견 되었다고 발표한 이후 파장이 지속되고 있습니다.


Google Project Zero 팀 블로그 바로가기
https://googleprojectzero.blogspot.kr/2018/01/reading-privileged-memory-with-side.html


문제가 된 내용은 아래 3가지 이슈로

Variant 1: bounds check bypass (CVE-2017-5753)Variant 2: branch target injection (CVE-2017-5715)Variant 3: rogue data cache load (CVE-2017-5754)
핵심은 CPU의 부채널 공격(side channel attack)으로 인해 캐시 메모리의 저장된 정보가 노출되는 취약점 입니다.


- Spectre(스펙터, CVE-2017-5753, CVE-2017-5715)
- Meltdown (멜트다운, CVE-2017-5754)


해결방안은 칩셋 제조사및 OS 개발사에서 제공하는 업데이트를 적용하는 방법 입니다.

패치이후  CPU 성능저하 논란이 계속해서 일어나고 있는 상황이지만
인텔 측에서는 벤치마크 자료를 공개하고 성능저하는  미미한 차이라는 입장을 고수하고 있습니다.



원본출처 바로가기
https://newsroom.intel.com/editorials/intel-security-issue-update-initial-performance-data-results-client-systems/



아래는 보호나라 기준  제조사별 패치현황 입니다. (2018년 1월 18일 기준)
제조사패치 현황배포 여부Amazone패치 버전 배포(‘18.1.14)[2]배포완료AMD장비 제조사 및 OS 개발사를 통해 패치 권고 [3]배포중AppleiOS, macOS 등 멜트다운 취약점에 대한 패치버전 배포(’17.12.7)배포중iOS, macOS 등 스펙터 취약점에 대한 패치버전 배포 예정…