Заплатка для Spectre приводит к отказу Linux-систем

23 августа 2018 г., четверг

Последнее обновление Red Hat вывело из строя высокопроизводительные компьютеры, работающие на файловой системе Lustre.

Последнее обновление Red Hat Linux с патчами для Spectre 1.1 выводит из строя высокопроизводительные компьютеры с файловой системой Lustre. Об этом сообщили специалисты Стэнфордского исследовательского вычислительного центра на форуме одного из профильных сообществ. Разработчики ОС подтвердили ошибку и пообещали исправить ее в ближайшем релизе.

Проблема присутствует в устройствах, работающих на Red Hat с модулем LNet и инструментом для удаленного прямого доступа к памяти (RDMA). Операционная система с ядром 3.10.0-862.11.6.el7.x86_64 и Lustre версии 2.10.4 переставала пинговать саму себя при первом же обращении к высокоскоростному интерфейсу Infiniband. В результате происходил отказ в обслуживании и прекращение работы компьютера.

Представители Red Hat сообщили, что работают над исправлением ошибки и предложили владельцам уязвимых систем откатить систему до предыдущего релиза. Как отметил Кристофер Робинсон (Christopher Robinson), отвечающий за контур безопасности ОС, проблема будет исправлена в версии 3.10.0-862.13.1, которая в настоящее время тестируется командой Red Hat Enterprise Linux Engineering.

«Клиенты, не имеющие возможности вернуться к предыдущей сборке ядра, могут запросить временный апдейт в службе поддержки Red Hat», — отметил специалист.

Проблемное обновление Red Hat Linux исправляло уязвимость CVE-2018-3693, которая была обнаружена в июле этого года. Недостаток позволял инициировать спекулятивные операции записи, приводившие к переполнению буфера. Результатом эксплуатации бага мог стать несанкционированный доступ к ячейкам памяти с пользовательской информацией. Ошибка получила 7,1 балла по шкале CVSS.

Несмотря на регулярные патчи от Intel и других производителей исследователи продолжают находить все новые и новые способы эксплуатации уязвимостей типа Spectre. В конце июля австрийские ученые выяснили, как получить данные из памяти процессора без выполнения кода на скомпрометированном устройстве. Эксперты использовали уже запущенные в системе скрипты для циклического чтения массива данных и взлома защиты чипа.

Threatpost