Durante todo el día de ayer estuvimos en vilo a raíz de todas las noticias que fueron surgiendo alrededor de problemas de seguridad que se confirmaron de forma oficial por parte de fabricantes de procesadores. Elaboramos en esta noticia un breve resumen.
Ya en diciembre había noticias y rumores sobre un posible error de hardware que podía afectar a procesadores Intel y que podía permitir el acceso a regiones de memoria restringida, lo que puede ser un problema muy grave pues en plataformas cloud se podría llegar a dar el caso de que accedieran unos clientes a información de otros al ser un problema a nivel hardware.
En este ámbito aparecieron dos ataques posibles, el Meltdown y el Spectre, ambos basados en vulnerabilidades similares.
El Meltdown es algo más simple de que un posible atacante pueda sacar provecho de él y también más fácil de solucionar y de momento, oficialmente, sólo afectaría a procesadores Intel fabricados desde el año 1995, aunque podrían aparecer noticias a posteriori que confirmen que también se podría dar en otros procesadores.
Mientras que el ataque Spectre es algo más complejo de aprovecharse de la vulnerabilidad y también de solucionar, afecta también a procesadores AMD y ARM, dato bastante relevante, pues la mayor parte de los teléfonos móviles inteligentes tienen un procesador ARM.
Los códigos de las vulnerabilidades que comentamos son para el Spectre la CVE-2017-5753 y CVE-2017-5715 y para el Meltdown la CVE-2017-5754 .
Solución de estos problemas
Como se trata de problemas hardware, la solución no es tan sencilla de aplicar, pues serían los propios fabricantes quienes debería arreglarlo en el hardware. Pero, lo que sí que se puede es tratar de que el propio software no dé pie a poder sacar partido a estos problemas. En Linux ya se encontró solución para Meltdown y dependiendo de que distribución estés empleando igual ya tienes disponible, vía actualización habitual de la distribución, esta solución. Por lo que lo más recomendable es que tengáis vuestros sistemas siempre actualizados, especialmente el paquete del kernel, que a mayores precisa reiniciar el equipo para que la actualización sea efectiva.
Las distintas distribuciones de GNU/Linux y BSD tienen en sus páginas web información referente al estado de las soluciones de estos problemas. Abajo reunimos un compendio de lo que encontramos hasta el momento sobre la vulnerabilidad y el estado de resolución Meltdown:
- ArchLinux solucionada.
- Debian solucionada.
- Fedora solucionada.
- FreeBSD pendiente.
- Gentoo pendiente.
- Red Hat pendiente.
- SUSE pendiente.
- Ubuntu pendiente.
Mientras tanto, en relación a las vulnerabilidades del Spectre tendremos que esperar un poco para tener más noticias sobre su resolución, pues esta es más compleja y aun no tenemos novedades de que los desarrolladores hayan conseguido arreglarla.
