Ahoj,
V optice vpsfree se dá zjednodušeně říct, že stačí aby si útočník
získal přístup zkrz hacknutý (no nebo si prostě koupil) vps na
stejném stroji jako ty a problém je nasvětě. Rychle jsem si
projížděl "papers" k těm chybám a mají tam proof of concept v JS
:-D (vytženo z kontextu vím :-D). Jde o relativně novej typ útoku
a například mozila[1] na blogu píše, že podobnou techniku jde
použít i na webový obsah nahraný do prohlížeče, takže vektorů
útoků by mohlo existovat hafo.
[1]
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
S
Můžu potvrdit, že zatížení toho disku je asi opravdu větší i v reálném případě a ne jen u syntetických testů.
Jinak při našem testu se to zdá také stabilní otázka tedy bude jak to bude nyní s výkonností.
Jinak mám ještě otázku, dá se předpokládat, že tyto exploity jsou použitelné pouze lokálně tzn např. přes SSH, kdy uživatel může zkompilovat svůj C exploit, nebo to půjde zneužít i na dálku tzn přes web server/nějakou jinou službu a tak podobně?
Zdenek
Dne 5. ledna 2018 22:09 Stanislav Petr <glux@glux.org> napsal(a):
Za mne urcite souhlas. Meltdown se opravit musi urychlene, Spectre kdyz chvili pocka tak asi problem neudela - predpokladam ze bude chvilku trvat nez bude existovat pouzitelnej exploit s nejakym realnym bezpecnostnim dopadem (ale je to jen otazka casu).
--
Stanislav Petr
> 5. 1. 2018 v 21:22, Pavel Snajdr <snajpa@snajpa.net>:
>
> Uz vim presne, proc se mi to nezda.
>
> Meltdown jsem tim backportem opravil.
>
> Spectre = smula; pomohl by (minimalni troskou) KASLR, vaham, jestli ho mam naportovat v nejake syrove podobe, bo tu ho vubec nemame.
>
> Kazdopadne build vypada stabilne, budeme nasazovat v noci.
>
> /snajpa
>
> On 2018-01-05 09:16, Pavel Snajdr wrote:
>> SRPM je tady:
>> http://repo.vpsfree.cz/testing/vzkernel/vzkernel-2.6. 32-042stab126.666.src.rpm
>> Git z kteryho jde pak vyrobit SOURCES/linux-2.6.32-696.18.666.el6.tar.bz2
>> (omlouvam se za unaveny git commit message..)
>> https://github.com/snajpa/openvz6-kernel
>> Nezda se mi, ze by to moc pomohlo, netusim ale, co jsem udelal spatne.
>> Kazda pomoc vitana.
>> /snajpa
>> On 2018-01-05 08:18, Pavel Snajdr wrote:
>>> EN-TLDR: I have a patch for Meltdown ready. Do we deploy now or wait
>>> until after midnight?
>>> Mam naportovany patch z RHEL6 na nase OpenVZ jadro.
>>> Taky overenou funkcnost na trech serverech (jeden z toho je
>>> node1.pgnd, dva testovaci).
>>> Jdeme to aplikovat hned? Prezijete vypadek?
>>> /snajpa
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list@lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>> _______________________________________________
>> Community-list mailing list
>> Community-list@lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list@lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list