SUSE 解决了交易异步中止和页面大小更改时的机器检查错误

十一月 28, 2019 | By: Ying Ma

近日，Intel 和安全研究人员发布了一系列涉及各种 Intel 硬件和软件组件的安全问题。

Intel 对这些问题进行了概述。为了减轻与SUSE相关的两个新的 Intel CPU 问题，SUSE 提供了更新。

页面大小更改时的机器检查错误 / CVE-2018-12207

Intel CPU 上的指令解码和扩展页表管理期间的竞争条件可能导致机器检查错误（CPU 崩溃），即拒绝服务攻击。

对 guest 虚拟机具有完全访问权限的攻击者可以利用这个问题来破坏主机。

这种问题存在于当前除 Intel Atom 和 Knights Landing 外的所有 Intel CPU。

SUSE 在更新其管理程序（包括 Linux 内核中的 KVM 和 XEN）时提供了解决此问题的软件缓解措施。

默认情况下缓解功能是启用的，有关如何检查其状态和配置的详细信息，请参阅我们的技术信息文档。

交易异步中止 (TAA) / CVE-2019-11135

阿姆斯特丹自由大学的 TU Graz、KU Leuven、CISPA Helmholtz 中心和 VUSec 小组的研究人员发现了另一种基于 CPU 的信息泄漏攻击，类似于 2019 年 5 月发布的“微架构数据采样”(MDS) 攻击。

他们表明，在事务执行的异步中止期间，可能会推测性地访问各种微架构缓冲区，这可能会导致类似于 MDS 攻击的副作用，泄漏同一 CPU 核心上最近或当前使用的少量数据。

为了帮助缓解这个问题，Intel 提供了微码更新，SUSE 提供了固定的内核和 XEN 软件包。

根据环境的不同，管理员还需要考虑禁用超线程和/或禁用 TSX 支持。只有在 Cascade Lake 和较新的系统上通过 CPU 微码更新的帮助才能禁用 TSX。

我们的 TID 中记录了控制缓解措施的方法。请参阅我们的技术信息文档。

为了缓解这些问题，SUSE 为 Linux 内核、XEN、Intel CPU 微码和 qemu 提供了在线更新。

No comments yet

1,745 views

Ying Ma