इंटेल फर्मवेयर और प्रोसेसर 'कर्नेल मेमोरी लीकिंग' कमजोरियां

द्वारा प्रकाशित किया गया था Zevenet | 4 जनवरी, 2018

अवलोकन

इंटेल ने हाल ही में कमजोरियों की एक श्रृंखला प्रकाशित की है जो उनके कुछ प्रोसेसर और फ़र्मवेयर के कार्यान्वयन और डिजाइन को प्रभावित करता है, जो कि उपकरणों से सर्वर प्लेटफार्मों तक प्रभावित होता है।

निम्न अनुभागों में यह वर्णित है कि ये भेद्यता एक डेटा केंद्र में नेटवर्किंग उपकरणों और सर्वर आधारित बुनियादी ढांचे को कैसे प्रभावित करती है।

इंटेल फर्मवेयर भेद्यता

इन कमजोरियों के जोखिमों को दूर करने के लिए, इंटेल ने सिस्टम और सुरक्षा व्यवस्थापकों को इन खतरों के समाधान के लिए कुछ सुझाव प्रदान करने में मदद करने के लिए सिफारिशें प्रकाशित की हैं:

Intel-SA-00086 सुरक्षा समीक्षा
Intel-SA-00086 समर्थन आलेख
Intel-SA-00086 डिटेक्शन टूल

यह करने के लिए सिफारिश की है उपरोक्त टिप्पणियों को पढ़ें और फर्मवेयर अपडेट लागू करें विभिन्न विक्रेताओं ने भविष्य के हमलों के मामले में एक सुरक्षित बुनियादी ढांचा बनाए रखने के लिए प्रदान किया है जो इन कमजोरियों का लाभ उठा सकते हैं।

किसी डेटा सेंटर में नेटवर्किंग की अवसंरचना पर इन कमजोरियों का क्या प्रभाव पड़ता है, इस संबंध में, हम निम्नलिखित परिसर को संक्षेप में प्रस्तुत कर सकते हैं:

1. ये भेद्यता इंटेल प्रोसेसर के विशाल बहुमत को प्रभावित करती है और यह उनमें से किसी से प्रभावित होने की संभावना है।
2. ये कमजोरियाँ एक विशेषाधिकार वृद्धि के खतरे पर आधारित हैं, और इसलिए, उन्हें मनमानी कोड को निष्पादित करने में सक्षम होने के लिए ऑपरेटिंग सिस्टम तक स्थानीय पहुंच की आवश्यकता होती है। या कम से कम, इन कमजोरियों का लाभ उठाने के लिए प्रशासक के रूप में रिमोट एक्सेस की आवश्यकता होती है।
3. यह विक्रेताओं द्वारा प्रदान किए गए फर्मवेयर अपडेट को लागू करने और सेवाओं को निष्क्रिय करने के लिए आवश्यक होगा: इंटेल प्रबंधन इंजन (इंटेल एमई), इंटेल ट्रस्टेड एक्ज़ीक्यूशन इंजन (इंटेल TXE), इंटेल सर्वर प्लेटफ़ॉर्म सर्विसेज (एसपीएस) और इंटेल एटीएम।
4. प्रबंधन नेटवर्क को अलग-थलग करके ऑपरेटिंग सिस्टम के लिए स्थानीय और दूरस्थ पहुँच को बंद करें और ऑपरेटिंग सिस्टम के लिए उपयोगकर्ता या प्रक्रियाओं तक पहुँचने से बचें।
5. यह आभासी या हार्डवेयर प्लेटफ़ॉर्म, ऑन-प्रिमाइसेस या क्लाउड वातावरण, या यहां तक ​​कि सूक्ष्म सेवाओं से भी प्रभावित होता है। हर परत को इस खतरे से सुरक्षा का ध्यान रखना चाहिए।

कर्नेल मेमोरी लीकिंग भेद्यता या इंटेल सीपीयू बग

इंटेल सीपीयू को एक महत्वपूर्ण चिप-स्तरीय सुरक्षा बग से प्रभावित किया गया है जिसे माइक्रोकोड अपडेट द्वारा तय नहीं किया जा सकता है, लेकिन ओएस स्तर पर और उन सभी (विंडोज, लिनक्स और मैकओएस) को प्रभावित करता है।

RSI कर्नेल मेमोरी कमजोर होना उस समस्या का सामना करें जहां हर उपयोगकर्ता अंतरिक्ष कार्यक्रम (डेटाबेस, जावास्क्रिप्ट, वेब ब्राउज़र इत्यादि) अवैध रूप से संरक्षित कर्नेल मेमोरी में कुछ सामग्रियों तक पहुंच सकता है, ऑपरेटिंग सिस्टम में निर्दिष्ट वर्चुअल मेमोरी सीमाओं को पार करके। OS स्तर पर फिक्स के कार्यान्वयन के साथ आता है कर्नेल पृष्ठ तालिका अलगाव (KPTI) उपयोगकर्ता प्रक्रियाओं के लिए अदृश्य कर्नेल मेमोरी सुनिश्चित करने के लिए।

लेकिन, जैसा कि यह एक आदर्श दुनिया नहीं है, इस पैच द्वारा लागू की गई बढ़ी हुई सुरक्षा लगभग 30% के उपयोगकर्ता कार्यक्रमों के लिए एक बड़ा प्रदर्शन जुर्माना पेश करती है। इसके अलावा, मंदी कार्यभार और आई / ओ गहन कर्नेल और उपयोगकर्ता अंतरिक्ष कार्यक्रमों के बीच व्यापक उपयोग पर निर्भर करेगी। किसी डेटा सेंटर के भीतर नेटवर्किंग फ़ंक्शंस के विशिष्ट मामलों के लिए, यह इतना महत्वपूर्ण नहीं है क्योंकि उनके कार्य स्पष्ट हैं और बहुत अधिक डेटा प्रोसेसिंग के साथ व्यवहार नहीं करते हैं हालांकि गहन परत 7 कार्य जैसे SSL ऑफलोड, सामग्री स्विचिंग, आदि।

कर्नेल की मेमोरी की डेटा सामग्री को पढ़ने के लिए मुख्य रूप से प्रोग्राम या लॉग-इन उपयोगकर्ताओं द्वारा इस भेद्यता का दुरुपयोग किया जा सकता है। इस कारण से, वर्चुअलाइजेशन, माइक्रो-सर्विसेज या क्लाउड सिस्टम जैसे संसाधन साझा वातावरण प्रभावित होने और दुरुपयोग होने की अधिक संभावना है।

जब तक ओएस स्तर पर एक निश्चित पैच प्रदान नहीं किया जाता है, तब तक रोकथाम के बिंदु जो हमने पिछले अनुभाग में निर्धारित किए हैं, अब के लिए पर्याप्त होंगे।

एएमडी ने पुष्टि की है कि उनके प्रोसेसर भेद्यता से प्रभावित नहीं हो रहे हैं और इसलिए, दंड प्रदर्शन से।

मंदी और भूत हमलों

मेल्टडाउन और स्पेक्टर हमलों को कई सीपीयू हार्डवेयर कार्यान्वयनों में पाए जाने वाले साइड-चैनल भेद्यता के लिए संदर्भित किया जाता है, जो सीपीयू कैश से साइड-चैनल के रूप में निष्पादित सीपीयू निर्देशों से जानकारी निकालने की क्षमता का लाभ उठाते हैं। वर्तमान में, इन हमलों के कुछ प्रकार हैं:

वेरिएंट 1 (CVE-2017-5753, काली छाया): सीमा चेक बाईपास
वेरिएंट 2 (CVE-2017-5715, भी काली छाया): शाखा लक्ष्य इंजेक्शन
वेरिएंट 3 (CVE-2017-5754, मंदी): दुष्ट डेटा कैश लोड, मेमोरी एक्सेस अनुमति जांच कर्नेल मेमोरी रीड के बाद की जाती है

इन हमलों की आगे की तकनीकी व्याख्या http://www.kb.cert.org/vuls/id/584653.

Zevenet लोड Balancers में मेल्टडाउन और स्पेक्टर का प्रभाव

Zevenet Load Balancer में इन कमजोरियों का जोखिम कम है एक हमलावर के रूप में ऑपरेटिंग सिस्टम के लिए स्थानीय पहुंच होनी चाहिए और उन्हें लाभ उठाने के लिए उपयोगकर्ता विशेषाधिकारों के साथ दुर्भावनापूर्ण कोड निष्पादित करने में सक्षम होना चाहिए। Zevenet Enteprise Edition एक नेटवर्किंग विशिष्ट उपकरण है जो एक स्थानीय गैर-प्रशासनिक उपयोगकर्ता को तृतीय-पक्ष कोड निष्पादित करने की अनुमति नहीं देता है, इसलिए ऐसा होने की संभावना नहीं है और इसे अच्छे प्रशासन प्रथाओं के साथ रोका जा सकता है।

इसके अलावा, लोड बैलेंसर प्रबंधन नेटवर्क आमतौर पर निजी होते हैं और प्रशासनिक उपयोगकर्ता की तुलना में कोई भी अतिरिक्त उपयोगकर्ता डिफ़ॉल्ट रूप से नहीं होता है, इसलिए जोखिम कम होता है। दूसरी ओर, मल्टी-टेनेंट सिस्टम जैसे सार्वजनिक आभासी वातावरण, कंटेनर प्लेटफ़ॉर्म और क्लाउड वातावरण सबसे बड़े जोखिम का सामना कर सकते हैं।

हमले को रोकने के लिए, कृपया उन सुरक्षा सिफारिशों का पालन करें जिन्हें हमने ऊपर सूचीबद्ध किया था।

वर्तमान में, इन कमजोरियों को पूरी तरह से कम करने के लिए ऑपरेटिंग सिस्टम स्तर पर कुछ पैच हैं, लेकिन वे कुछ प्रदर्शन साइड इफेक्ट का उत्पादन करते हैं। हमारी सुरक्षा टीम आपके एप्लिकेशन डिलीवरी सेवाओं में न्यूनतम प्रभाव के साथ ही इस सुरक्षा खतरे को कम करने के लिए एक निश्चित पैच प्रदान करने के लिए काम कर रही है।

इसके द्वारा आगे संचार प्रदान किया जाएगा आधिकारिक समर्थन चैनल.

पर साझा करें:

GNU फ्री डॉक्यूमेंटेशन लाइसेंस की शर्तों के तहत प्रलेखन।

क्या यह लेख सहायक था?

संबंधित आलेख