Vulnerabilidades Meltdown e Spectre

Se você trabalha em TI e não estava de férias, deve saber a respeito das vulnerabilidade Meltdown e Spectre.

Muito já foi escrito a respeito nesta semana, mas como a Nerv precisou reunir informações mais precisas a respeito para tratar junto a seus clientes, achei útil compartilhar alguns links aqui.

Se quer apenas o resumo: atualize seu Sistema Operacional assim que puder. E semana que vem, atualize novamente. E repita isto para sempre. Bem, você já devia fazer isto de qualquer forma…

Página do US-CERT a respeito
Além de uma aplicação breve a respeito das vulnebarbilidades, esta página contém links para os anúncios a respeito de diversos fornecedores, como Amazon, Google, Microsoft, etc.
https://www.us-cert.gov/ncas/alerts/TA18-004A

Código das vulnerabilidades
CVE-2017-5753, CVE-2017-5715, CVE-2017-5754

Microsoft (update já disponível para as versões 2008 R2, 2012 R2, 2016)
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

RHEL (update já disponível para versões 5, 6 e 7)
https://access.redhat.com/security/vulnerabilities/speculativeexecution

OEL (update já disponível para versões 6 e 7)
https://linux.oracle.com/cve/CVE-2017-5754.html
https://linux.oracle.com/cve/CVE-2017-5753.html
https://linux.oracle.com/cve/CVE-2017-5715.html

SUSE (update já disponível para versões SLES 12 SP3, SLES 12 SP2, SLES 12 SP1-LTSS, SLES 12-LTSS, SLES 11 SP4, SLES 11 SP3-LTSS, )
https://www.suse.com/support/kb/doc/?id=7022512

AIX (updates de Firmware estarão disponíveis no dia 09/01/2018 para processadores POWER7+, POWER8 and POWER9)
https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family/

4 comments

  1. Ricardo,
    Não encontrei para o RH5 nem OEL5 .. da uma confirmada nos links que você publicou .. mas parece que não foi liberado ainda.

    1. Oi.
      Veja neste link, clique em “Resolve”, e veja que tem para o “Red Hat Enterprise Linux 5.9”, mas precisa ter “Advanced Update Support”.
      Mas do OEL realmente só fala de correções para 6 e 7, vou corrigir.

  2. eu compartilhei essa matéria no linkedin, por causa de todos esses detalhes que informou no post.

    1. Obrigado Marcos.
      É importante compartilhar, pois especialmente por ser uma vulnerabilidade famosa, é mais perigosa – é mais provável que algum cracker amador se interesse por elas.

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.