En relación a las recientes vulnerabilidades y exposiciones comunes detectadas que afectan a los procesadores y sistemas operativos en las principales plataformas de hardware, Red Hat Product Security proporcionar más contexto desde una perspectiva de tecnología de open source y explica cuál es el impacto a nivel empresarial.
¿Qué son las vulnerabilidades y exposiciones comunes (CVE-2017-5753 (Spectre), CVE-2017-5715 (Spectre) y CVE-2017-5754 (Meltdown)?
Red Hat Product Security es consciente de las vulnerabilidades que afectan a los procesadores y sistemas operativos en las principales plataformas de hardware, incluidas las de la familia x86 (circuito integrado auxiliar de Intel y AMD), POWER 8, POWER 9, System z y ARM, que podrían permitir el acceso de lectura no autorizado a la memoria. El exploit tiene tres rutas de ataque únicas que podrían permitir a un atacante ejecutar un “ataque de canal lateral” para eludir las protecciones y así leer la memoria del dispositivo. Los tres vulnerabilidades y exposiciones comunes para este problema son:
· CVE-2017-5754 (Meltdown) es el más grave de los tres. Este exploit utiliza la speculative cache loading para permitir a los atacantes leer los contenidos de la memoria. Este problema se corrige con parches de kernel.
· CVE-2017-5753 (Spectre) es un Bounds-checking exploit durante el branching. Este problema se corrige con un parche de kernel.
· CVE-2017-5715 (Spectre) es un branching poisoning attack que puede conducir a la pérdida de datos. Este ataque permite que un huésped virtualizado lea la memoria del host system. Este problema se corrige con microcódigo, junto con las actualizaciones de kernel y la virtualización tanto para el software huésped y host de virtualización.
¿Cómo valora Red Hat esta vulnerabilidad?
Red Hat considera que este problema tiene un impacto de seguridad de gravedad IMPORTANTE. Esta falla permite que un atacante tenga acceso local al sistema afectado.
¿Cómo afectan CVE-2017-5753, CVE-2017-5715 y CVE-2017-5754 las operaciones de TI?
Debido a la amenaza planteada por el encadenamiento de vulnerabilidad (la capacidad de explotar una vulnerabilidad explotando otra primero), Red Hat sugiere encarecidamente que los usuarios actualicen todos los sistemas, incluso si no creen que su configuración represente una amenaza directa.
¿Qué productos de Red Hat se ven afectados?
· Red Hat Enterprise Linux 7.x
· Red Hat Enterprise Linux 6.x
· Red Hat Enterprise Linux 5.x
· Red Hat Enterprise Linux for Real Time
· Red Hat Enterprise Linux for SAP Applications
· Red Hat Enterprise Linux for SAP HANA
· Red Hat Enterprise Linux for SAP Solutions
· Red Hat Enterprise MRG 2
· Red Hat OpenShift 3.x
· Red Hat OpenShift 2.x
· Red Hat Virtualization (RHEV-H/RHV-H) 4.1
· Red Hat Virtualization (RHEV-H/RHV-H) 3.6
· Red Hat OpenStack Platform 12
· Red Hat OpenStack Platform 11
· Red Hat OpenStack Platform 10
· Red Hat OpenStack Platform 9
· Red Hat OpenStack Platform 8
· Red Hat OpenStack Platform 7.