Comentario de Red Hat sobre el fallo de seguridad Spectre y Meltdown
En relación a las recientes vulnerabilidades y exposiciones comunes detectadas que afectan a los procesadores y sistemas operativos en las principales plataformas de hardware, Red Hat Product Security quiere proporcionar más contexto desde una perspectiva de tecnología de open source y explica cuál es el impacto a nivel empresarial.
¿Qué son las vulnerabilidades y exposiciones comunes (CVE-2017-5753 (Spectre), CVE-2017-5715 (Spectre) y CVE-2017-5754 (Meltdown)?
Red Hat Product Security es consciente de las vulnerabilidades que afectan a los procesadores y sistemas operativos en las principales plataformas de hardware, incluidas las de la familia x86 (circuito integrado auxiliar de Intel y AMD), POWER 8, POWER 9, System z y ARM, que podrían permitir el acceso de lectura no autorizado a la memoria. El exploit tiene tres rutas de ataque únicas que podrían permitir a un atacante ejecutar un “ataque de canal lateral” para eludir las protecciones y así leer la memoria del dispositivo. Los tres vulnerabilidades y exposiciones comunes para este problema son:
· CVE-2017-5754 (Meltdown) es el más grave de los tres. Este exploit utiliza la speculative cache loading para permitir a los atacantes leer los contenidos de la memoria. Este problema se corrige con parches de kernel.
· CVE-2017-5753 (Spectre) es un Bounds-checking exploit durante el branching. Este problema se corrige con un parche de kernel.
· CVE-2017-5715 (Spectre) es un branching poisoning attack que puede conducir a la pérdida de datos. Este ataque permite que un huésped virtualizado lea la memoria del host system. Este problema se corrige con microcódigo, junto con las actualizaciones de kernel y la virtualización tanto para el software huésped y host de virtualización.
¿Cómo valora Red Hat esta vulnerabilidad?
Red Hat considera que este problema tiene un impacto de seguridad de gravedad IMPORTANTE. Esta falla permite que un atacante tenga acceso local al sistema afectado.
¿Cómo afectan CVE-2017-5753, CVE-2017-5715 y CVE-2017-5754 las operaciones de TI?
Debido a la amenaza planteada por el encadenamiento de vulnerabilidad (la capacidad de explotar una vulnerabilidad explotando otra primero), Red Hat sugiere encarecidamente que los usuarios actualicen todos los sistemas, incluso si no creen que su configuración represente una amenaza directa.
¿Qué productos de Red Hat se ven afectados?
- Red Hat Enterprise Linux 7.x
- Red Hat Enterprise Linux 6.x
- Red Hat Enterprise Linux 5.x
- Red Hat Enterprise Linux for Real Time
- Red Hat Enterprise Linux for SAP Applications
- Red Hat Enterprise Linux for SAP HANA
- Red Hat Enterprise Linux for SAP Solutions
- Red Hat Enterprise MRG 2
- Red Hat OpenShift 3.x
- Red Hat OpenShift 2.x
- Red Hat Virtualization (RHEV-H/RHV-H) 4.1
- Red Hat Virtualization (RHEV-H/RHV-H) 3.6
- Red Hat OpenStack Platform 12
- Red Hat OpenStack Platform 11
- Red Hat OpenStack Platform 10
- Red Hat OpenStack Platform 9
- Red Hat OpenStack Platform 8
- Red Hat OpenStack Platform 7
- Red Hat OpenStack Platform 6
¿Cómo impacta a los contenedores?
Cada contenedor de Linux incluye una capa base de Linux. Para que estos contenedores se utilicen en entornos de producción, es importante que este contenido esté libre de vulnerabilidades conocidas. Si el contenedor incluye un kernel, componentes de virtualización u otros componentes enumerados a continuación, deben actualizarse. Una vez actualizado, no hay acciones relacionadas con contenedores específicos que deban tomarse a menos que el contenedor tenga dependencias o incluya los paquetes afectados. Los siguientes archivos serán actualizados: kernel, kernel-rt, kernel-headers, dracut, libvirt, qemu-kvm-rhev, microcode_clt y linux_firmware.
¿Qué es lo que aconseja Red Hat a sus clientes?
Red Hat ha emitido información de vulnerabilidad que se puede encontrar aquí:
https://access.redhat.com/security/vulnerabilities/speculativeexecution
Esto se actualizará continuamente a medida que haya más información disponible.
Chris Robinson, manager of Product Security Assurance, Red Hat: "Estas vulnerabilidades (CVE-2017-5753, CVE-2017-5715 y CVE-2017-5754) representan una falla de omisión de restricción de acceso que afecta muchas arquitecturas de CPU y muchos de los sistemas operativos que habilitan ese hardware. Al trabajar con otros líderes de la industria, Red Hat ha desarrollado actualizaciones de seguridad del kernel para productos de nuestra cartera para abordar estas vulnerabilidades. Estamos trabajando con nuestros clientes y partners para que estas actualizaciones estén disponibles, junto con la información que nuestros clientes necesitan para proteger rápidamente sus sistemas físicos, imágenes virtuales e implementaciones basadas en contenedores".
Denise Dumas, vice president, Operating System Platform, Red Hat: “Estas vulnerabilidades tienen un gran impacto en la industria de TI, afectando a muchos procesadores modernos y permitiendo a un atacante eludir las restricciones para obtener acceso de lectura a la memoria que de otro modo sería inaccesible a través de canales laterales. En resumen, estas vulnerabilidades podrían permitir que un agente malicioso robe información confidencial de casi cualquier ordenador, dispositivo móvil o implementación en la nube. Es importante destacar que varios líderes de la industria de la tecnología, incluido Red Hat, trabajaron juntos para crear parches que corrigieran este problema, lo que subraya el valor de la colaboración de la industria. Es importante que las personas, desde los consumidores hasta las organizaciones de TI empresariales, apliquen las actualizaciones de seguridad que reciben. Debido a que estas actualizaciones de seguridad pueden afectar el rendimiento del sistema, Red Hat ha incluido la capacidad de habilitarlas de manera selectiva para comprender mejor el impacto en las cargas de trabajo confidenciales".