Já divulgamos aqui no SempreUpdate que a Intel descobriu uma nova falha em seus processadores. Chamada de L1 Terminal Fault (L1TF) ou Foreshadow, o ataque explora os processadores Intel x86. Os patches de correção estão disponíveis para os sistemas operacionais mais populares baseados em Linux. Leia neste post que Ubuntu, Debian, RHEL e CentOS Linux recebem correções para Foreshadow.
Tanto a Canonical quanto a Red Hat enviaram um e-mail com relação à vulnerabilidade de segurança L1 Terminal Fault. Ele foi documentado como CVE-2018-3620 para sistemas operacionais e SMM (System Management Mode); CVE-2018-3646 para impactos na virtualização; bem como CVE-2018-3615 para Intel Software Guard Extensions (Intel SGX). As falhas afetam todos os sistemas operacionais e máquinas baseados em Linux com processadores Intel.
Descobriu-se que a memória presente no cache de dados L1 de um núcleo de CPU Intel pode ser exposta a um processo malicioso que está sendo executado no núcleo da CPU. Essa vulnerabilidade também é conhecida como L1TF (L1 Terminal Fault). A máquina virtual convidada pode usar isso para expor informações confidenciais (memória de outros convidados ou do sistema operacional host), diz o aviso de segurança do Ubuntu .
Kernel atualizado
Além da falha L1 Terminal Fault, as novas atualizações de kernel também corrigem uma vulnerabilidade de segurança (CVE-2018-5391). Ela foi descoberta por Juha-Matti Tilli e atinge a implementação IP do kernel Linux, permitindo, assim, que atacantes remotos causem uma negação de serviço.
Isso é mitigado pela redução dos limites padrão de uso de memória para pacotes fragmentados incompletos. A mesma atenuação pode ser obtida sem a necessidade de reinicialização, definindo-se os sysctls: net.ipv4.ipfrag_high_thresh = 262144 net.ipv6.ip6frag_high_thresh = 262144/net.ipv4.ipfrag_low_thresh = 196608/net.ipv6.ip6frag_low_thresh = 196608, diz o aviso de segurança do Debian.
Como aplicar a correção
Corrigir seu computador contra a vulnerabilidade Foreshadow (L1 Terminal Fault) é importante. Os kernels corrigidos estão disponíveis para o Ubuntu 18.04 LTS (Bionic Beaver), Ubuntu 16.04 LTS (Xenial Xerus), Ubuntu 14.04 LTS (Trusty Tahr), Ubuntu 12.04 ESM (Pangolin Precise), Debian 9 “Stretch” do Debian GNU/Linux, Red Hat Enterprise Linux 6, Red Hat Enterprise Linux 7, CentOS Linux 6 e CentOS Linux 7.
Atenção
Portanto, todos os usuários desses sistemas operacionais ou outras distribuições GNU/Linux baseadas neles devem atualizar suas instalações o mais rápido possível. Então, certifique-se de instalar a versão mais recente do kernel para o seu Linux e depois reinicie o computador. Assim, o patch seja ativado. Além disso, verifique se você está executando a atualização de firmware de microcódigo mais recente para o seu processador Intel.