Meltdownのサーバーまたはハイパーバイザーにパッチを適用しないリスクは何ですか?
Meltdownのパッチは、30%のパフォーマンスのペナルティを招くと噂されています。これは、可能であれば避けるのがいいでしょう。したがって、これはセキュリティ対パフォーマンスのリスク評価問題になります。
サーバーまたはハイパーバイザーにパッチを適用しないリスクを評価するための経験則を探しています。
ホワイトペーパー を読むことから、私の理解は、あなたのマシンが次の場合にはパッチを確実に適用する必要があるということです:
- それが判明する 、Javaスクリプトを含む)を含むランダムな潜在的に悪意のあるコードを実行するワークステーションです、
- VMは悪意のあるコードを実行する可能性があります(これは基本的に最初のケースになります)。
- 機密VMの横にある信頼できないVMを実行するハイパーバイザーです(これは本質的に最初のケースになります)。
私の理解では、次の場合にはリスクが(大幅に)低くなります。
- 厳格に管理されたネットワーク内で厳しく管理された一連のプロセスを実行する専用ハードウェアで実行されているサーバー(信頼できないサイトにアクセスするためにWebブラウザーを使用しないことを含む)
- 厳密に制御されたネットワークで他の厳密に制御されたVMの仮想化スタックで厳密に制御されたプロセスのセットを実行するVM。
その論理的な音ですか、それとも何か不足していますか?
更新:Azureのパッチの早期採用者 目立った減速は報告されていません なので、これはすべて意味がないかもしれません。
基本的に、信頼できないソースからコードにアクセスさせたくないデータがあるマシンでコードを実行する場合、パッチを適用する必要があります。デスクトップコンピューターは、信頼できないコードに遭遇するという残念な習慣があるため、パッチを適用する必要があります。 Meltdownでは1人のユーザーが他のすべてのユーザーのデータにアクセスできるため、共有ホスティングサーバー、特に仮想プライベートサーバーホストにはパッチを適用する必要があります。
メルトダウン攻撃は仮想マシンから抜け出すために使用できない であることに注意してください。コンテナー、サンドボックス、または準仮想化システムから抜け出すことができますが、完全仮想化システムでメルトダウン攻撃を実行すると、ホストのカーネルメモリではなく、そのVMのカーネルメモリにアクセスできるようになります。
この問題についての私の理解は、ローカル情報漏えいであるということです。ローカルとは、情報が同じ物理ハードウェア上のプロセスにのみ「漏らされ」、リモートシステムには(直接)漏らされないということです。そして、それは実際に機密情報を抽出するために実際に使用できることが示されている攻撃です。しかし、エクスプロイトがどれほど簡単であるかはすぐに変わります Rowhammer は、ほとんど理論的な問題からブラウザ内のJavascriptを使用した問題のより信頼できるエクスプロイトまたはルートAndroid電話。
したがって、サーバーで信頼できないコードが実行される可能性がある場合は、パッチを適用する必要があります。これが、すべての大規模なクラウドプロバイダーがすでにシステムにパッチを適用しているか、まもなく適用する理由です。そしてそれが、パッチがLinuxカーネルに非常に迅速に組み込まれた理由です。これは、メモリサブシステムの変更としては非常に珍しいことです。
システムに信頼できないユーザーがいる場合、信頼できないコードが実行されるだけではない場合があることに注意してください。信頼できないソースからのデータを処理する場合にも発生する可能性があります。たとえば、攻撃者はWebサーバーの既存の機能を使用して画像をアップロードし、それをサーバーで変換することができます(つまり、スケーリングなど)。グラフィックライブラリのバグの履歴を考えると、この会話がコードの実行につながる可能性は低いとは言えません。そして、問題の性質を与えると、サンドボックス、ドッカーなどがバグの悪用を停止することを疑います。