Debian DSA-4078-1 : linux セキュリティ更新（Meltdown）

medium Nessus プラグイン ID 105595

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

複数の研究者が、Intelプロセッサの脆弱性を発見しました。これにより、権限のないプロセスを制御する攻撃者が、システム上で実行されているカーネルやその他すべてのプロセスを含む、任意のアドレスからメモリを読み取ることが可能です。

この特定の攻撃はMeltdownと呼ばれ、カーネルページテーブル分離という名前のパッチセットによってIntel x86-64アーキテクチャ用のLinuxカーネルで対処され、カーネルとユーザー空間のアドレスマップをほぼ完全に分離して、攻撃を防止します。このソリューションは、パフォーマンスに影響を与える可能性があり、カーネルコマンドラインにpti=offを渡すことで、起動時に無効にできます。

また、たとえばchrootや2.13以前の(e)glibcを使用するコンテナなどのvsycallインターフェースを使用する、古いユーザー空間の回帰が特定されました。これには、Debian 7またはRHEL/CentOS 6をベースとするコンテナも含まれます。
この回帰は今後の更新プログラムで修正されます。

同時に公開されたその他の脆弱性（Spectre）はこの更新プログラムで対処されておらず、今後の更新プログラムで修正されます。

ソリューション

Linuxパッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（jessie）では、別の更新プログラムで修正されます。

安定版（stable）ディストリビューション（stretch）では、この問題はバージョン4.9.65-3~deb9u2で修正されています。