출처: http://la-nube.tistory.com/311 [la Nube's Lab. | 라 누베 연구소]



List of Meltdown and Spectre Vulnerability Advisories, Patches, & Updates


99F837455A50CF2A04E8E1


<이 내용은 2018년 1월 6일 22시 00분 기준입니다.>


--


Amazon Web Service (AWS, 아마존 웹 서비스)


아마존의 AWS는 고객들에게 빨리 패치할 것을 권장하고 있으며,

업데이트가 완료된 아마존리눅스(CentOS 기반)도 사용할 수 있다고 발표하였습니다.

https://aws.amazon.com/security/security-bulletins/AWS-2018-013/


--


AMD


AMD에서는 자사의 CPU와 관련하여 다음과 같이 발표하였습니다.

https://www.amd.com/en/corporate/speculative-execution


1번째 취약점(스펙터)

 : 소프트웨어 / 운영체제 업데이트를 통하여 해결되었거나 해결된다고 보고함, 성능에 대한 영향은 미미함


2번째 취약점(스펙터)

 : 아키텍처의 차이로 거의(near) 0의 위험, AMD CPU에서는 2번째 취약점에 대하여 증명되지 않음


3번째 취약점(멜트다운)

 : 아키텍처의 차이로 0의 위험


--


Android (안드로이드)


구글은 ARM 기반의 안드로이드 기기를 위한 안드로이드 보안패치수준 2018-01-05를 발표하였습니다.

이 안드로이드 보안패치수준의 적용으로 멜트다운 & 스펙터 취약점을 '완화'할 수 있습니다.

어드바이저리(권고문)는 https://source.android.com/security/bulletin/2018-01-01 입니다.


--


Antivirus Vendors (백신 업체)


각 백신 업체에서는 다음과 같이 어드바이저리(권고문)를 발표하였습니다.


AhnLab V3 (안랩 V3)

 : http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50125159


Bitdefender (비트디펜더)

 : https://www.bitdefender.com/consumer/support/answer/9033/?icid=overlayccom_all_pagesmicrosoft_security_update_01_2018


Emsisoft (엠시소프트)

 : https://blog.emsisoft.com/2018/01/04/chip-vulnerabilities-and-emsisoft-what-you-need-to-know/


ESTsecurity Alyac (이스트시큐리티 알약)

 : http://blog.alyac.co.kr/1472


eScan (이스캔)

 : http://blog.escanav.com/2018/01/meltdown-spectre-cpu-vulnerabilities/


ESET (이셋)

 : https://www.eset.com/us/about/newsroom/corporate-blog-list/corporate-blog/meltdown-spectre-how-to-protect-yourself-from-these-cpu-security-flaws/


Hauri ViRobot (하우리 바이로봇)

 : https://www.hauri.co.kr/security/notice_view.html?intSeq=465&page=1


Kaspersky (카스퍼스키)

 : https://www.kaspersky.com/blog/two-severe-vulnerabilities-found-in-intels-hardware/20620/

 : https://support.kaspersky.com/14042


Sophos (소포스)

 : https://community.sophos.com/kb/en-us/128053


Trend Micro (트렌드마이크로)

 : https://success.trendmicro.com/solution/1119183


Webroot (웹루트)

 : https://community.webroot.com/t5/Announcements/Microsoft-Patch-Release-Wednesday-January-3-2018/m-p/310146


--


Apple (애플)


애플은 iOS 11.2macOS 10.13.2tvOS 11.2에서 멜트다운 취약점을 '완화'하기 위한 조치가 이루어졌습니다.

그리고 사파리(Safari)에서 스펙터 취약점을 '완화'하기 위한 조치를 준비하고 있습니다.

어드바이저리(권고문)는 https://support.apple.com/en-us/HT208394 입니다.


--


ARM


ARM은 애플, 삼성 엑시노스, 스냅드래곤 등 모바일 기기의 프로세서 아키텍처를 설계하는 곳입니다.

ARM은 Cortex-R7, R8, A8, A9, A15, A17, A57, A72, A73, A75에서 멜트다운 또는 스펙터 취약점에 취약하다는 결론을 내렸습니다.


ARM은 Cortex-A8이 갤럭시 S, 아이폰 3GS, 아이폰 4 등에서 사용되었으며,

A9가 갤럭시 S2, 아이폰 4, 아이폰 4S, 옵티머스 2S 등에서, A15가 갤럭시 S4, 넥서스 10 등에서,

A57이 갤럭시 S6 (엑시노스 7420) 등에서 사용되고 있을 정도로, 스마트폰과 밀접한 관계를 맺고 있습니다.


이 부분은 애플이나 구글 안드로이드 등 해당 운영체제(OS)에서 패치를 통하여 해결 또는 '완화'해야 합니다.

어드바이저리(권고문)은 https://developer.arm.com/support/security-update 입니다.


--


Chromium (크로미움)


구글 주도의 크로미움 프로젝트는 크로미움 63의 chrome://flags에서 Strict Site Isolation(엄격한 사이트 격리)를 활성화할 것을 권장하고 있습니다.

어드바이저리(권고문)는 https://www.chromium.org/Home/chromium-security/ssca 입니다.


아울러 다음의 게시글을 참고하기 바랍니다.


크롬 63.0.3239.132 / 파이어폭스 57.0.4 (인텔 CPU 등 취약점 관련)

http://la-nube.tistory.com/309


웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치

http://la-nube.tistory.com/310


--


CERT


CERT에서는 다음과 같은 어드바이저리(권고문)을 발표하였습니다.

http://www.kb.cert.org/vuls/id/584653


--


Google (구글)


구글은 멜트다운 & 스펙터 취약점을 밝혀낸 세 팀 중의 하나이며,

이미 2016년 6월에 CPU 제조사에 이 취약점에 대한 보고를 한 바 있습니다.


구글은 Google Cloud와 G Suite에서 이번 취약점을 '완화'하는 조치를 완료하였습니다.

아울러 Chrome과 Chrome OS에서는 Strict Site Isolation을 활성화할 것을 권장하고 있습니다.

https://blog.google/topics/google-cloud/what-google-cloud-g-suite-and-chrome-customers-need-know-about-industry-wide-cpu-vulnerability/


아울러 다음의 게시글을 참고하기 바랍니다.


크롬 63.0.3239.132 / 파이어폭스 57.0.4 (인텔 CPU 등 취약점 관련)

http://la-nube.tistory.com/309


웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치

http://la-nube.tistory.com/310


--


Intel (인텔)


인텔은 이번 멜트다운 & 스펙터 취약점의 주인공 중 하나입니다.

특히, Critical(크리티컬) 등급을 받은 멜트다운 취약점의 주인공이기도 합니다.


인텔에서는 다음과 같이 언론 발표를 공개하였습니다.

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/


--


Linux Foundation (리눅스 재단)


리눅스 재단의 리눅스 커널 개발자인 Thomas Gleixner는 지난 12월에 새로운 KAISER 격리 패치에 대한 내용을 올렸습니다. 여기에는 멜트다운 & 스펙터 취약점을 리눅스에서 해결하는 것이 소개되어 있습니다.

https://lkml.org/lkml/2017/12/4/709


--


Microsoft Windows (마이크로소프트 윈도)


마이크로소프트(MS)는 멜트다운 & 스펙터 취약점에 대응하기 위한 긴급 보안 패치를 발표하였습니다.

윈도10에서는 미국시간으로 1월 4일부터 긴급 보안 패치를 시작하였습니다.

윈도7과 윈도8.1은 미국시간으로 1월 9일부터 시작됩니다.


다만, 호환성 문제로 인하여 일부 PC에서 BSOD(쉽게 말하면, 블루스크린)가 발생하는 사례가 보고되어,

특정 레지스트리 값을 추가하는 패치를 완료한 백신 사용자부터 우선적으로 패치가 이루어지고 있습니다.

그래서 해당 패치를 완료한 백신을 사용하는 경우에만, 윈도의 자동 업데이트를 통한 긴급 보안 패치를 받을 수 있습니다.


마이크로소프트의 어드바이저리(권고문)는 다음과 같습니다.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s

https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe


--


Microsoft Edge & Internet Explorer (마이크로소프트 엣지와 인터넷 익스플로러)


마이크로소프트(MS)는 엣지의 SharedArrayBuffer 지원을 제거하고,

엣지와 인터넷 익스플로러의 performance.now()의 resolution을 5마이크로초에서 20마이크로초로 줄이는

'완화' 조치를 발표하였습니다. 이 조치는 이번 긴급 보안 패치에 포함되어 있습니다.

https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/


아울러 다음의 게시글을 참고하기 바랍니다.


웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치

http://la-nube.tistory.com/310


--


Microsoft Azure (마이크로소프트 애저)


대부분의 애저 인프라스트럭처는 취약점에 대응하기 위한 업데이트를 완료하였습니다.

그러나, 아직 몇몇 애저에서는 업데이트가 진행 중이거나, 업데이트를 적용하기 위해 고객의 가상머신 재부팅을 기다리고 있습니다.

https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/


--


Mozilla (모질라)


모질라는 파이어폭스 57.0.4 업데이트를 통하여 취약점을 '완화'하는 조치를 발표하였습니다.

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/


아울러 다음의 게시글을 참고하기 바랍니다.


크롬 63.0.3239.132 / 파이어폭스 57.0.4 (인텔 CPU 등 취약점 관련)

http://la-nube.tistory.com/309


웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치

http://la-nube.tistory.com/310


--


Nvidia (엔비디아)


엔비디아는 자사의 GPU가 취약점에 영향을 받지 않을 것이라고 믿고 있다고 발표했으나, 아직 조사 중입니다.

엔비디아의 어드바이저리(권고문)은 다음과 같습니다.

https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/


--


Red Hat (레드햇)


레드햇은 빠른 시일 내에 리눅스 커널에 대한 보안 패치를 수행할 것을 강력하게 권장하고 있습니다.

레드햇의 어드바이저리(권고문)는 다음과 같습니다.

https://access.redhat.com/security/vulnerabilities/speculativeexecution?sc_cid=701f2000000tsLNAAY&


인텔 CPU 등의 Kernel Side-Channel Attacks 주요 리눅스 패치 여부

http://la-nube.tistory.com/307


인텔 CPU 등 취약점의 윈도 및 주요 리눅스 패치 상태 (업데이트 中)

http://la-nube.tistory.com/308


--


SUSE (수세)


수세 엔지니어가 파트너와 리눅스 커뮤니티의 합작으로 업스트림 리눅스 커널 패치에 참가하였기에,

수세는 빠르게 리눅스 커널에 대한 보안 패치를 거의 대부분 완료하였다고 합니다.

https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/


--


Ubuntu (우분투)


우분투에서는 1월 9일까지 새로운 리눅스 커널을 내놓겠다고 발표하였습니다.

https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/


아울러 다음의 게시글을 참고하기 바랍니다.


인텔 CPU 등의 Kernel Side-Channel Attacks 주요 리눅스 패치 여부

http://la-nube.tistory.com/307


인텔 CPU 등 취약점의 윈도 및 주요 리눅스 패치 상태 (업데이트 中)

http://la-nube.tistory.com/308


--


VMware (VM웨어)


VM웨어에서는 VMware Workstation Pro, Player 12.5.8 등의 업데이트를 발표하였습니다.

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html


--


Xen (젠)


젠 프로젝트에서도 다음과 같이 매우 상세한 어드바이저리(권고문)를 발표하였습니다.

https://xenbits.xen.org/xsa/advisory-254.html


--


<참고>

https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/



출처: http://la-nube.tistory.com/311 [la Nube's Lab. | 라 누베 연구소]

번호 제목 글쓴이 날짜 조회 수
공지 우분투 18.04가. 4월 26일 나온다고 합니다. [6] 세벌 2018.04.25 118
공지 허태준 - 가장 의미 있고 즐거운 개발 [4] Kevin 2018.04.22 115
공지 마이크로 소프트, IoT 디바이스 보안을위한 리눅스 기반 Azure Sphere Initiative 출시 [3] Kevin 2018.04.19 57
공지 [배포판 제작] Pinguy Builder를 이용하여 Ubuntu 18.04 LTS Live System을 구축할 수 있습니다. [5] 행복한펭귄 2018.04.18 73
공지 우분투(Ubuntu) LTS 리눅스 커널 업데이트 - 2018.04.05. [7] la_Nube 2018.04.06 180
공지 오픈소스 메인테이너는 당신에게 빚진 적 없다 [28] Kevin 2018.04.03 276
공지 [프로그램번역]PlayonLinux 최신 번역 [3] Moordev 2018.04.03 162
공지 작은 교회에서 커뮤니티 실비아판 사용하기 [20] 산돌이네 2018.04.01 258
공지 하모니카 커뮤니티 소개 [18] Kevin 2018.04.01 202
공지 공식 커뮤니티 채널 안내 [3] Kevin 2018.02.12 214
공지 커뮤니티 배포판 마당을 통해 배포판 공급 활성화시키기 [23] 행복한펭귄 2017.12.02 15357
공지 리눅스민트 18.3 실비아(MATE) 정식버전 한국어판 배포 [32] Moordev 2017.11.28 16599
공지 하모니카 2.1 로사 RC1 릴리즈 합니다. [10] 하모니카 2016.01.12 145216
공지 차기 버전에 꼭 들어갔으면 하는 패키지를 추천해 주세요. [35] 하모니카 2014.12.12 177058
1275 인텔 CPU 사건과 관련한 질문입니다. [9] 블랙커피 2018.01.10 542
1274 리눅스 커널 4.4.0-108 관련 [6] 변신 2018.01.10 483
1273 하모니카 기본 한글 입력기? [3] 세벌 2018.01.09 518
» 인텔 CPU 등의 멜트다운 & 스펙터 취약점에 대한 대응 정리 la_Nube 2018.01.07 656
1271 와인 오류? [5] paranocean 2018.01.06 519
1270 웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치 [2] la_Nube 2018.01.06 484
1269 kldp 연결 안 되고 있네요. [2] 세벌 2018.01.06 466
1268 크롬 63.0.3239.132 / 파이어폭스 57.0.4 (인텔 CPU 등 취약점 관련) [3] la_Nube 2018.01.05 529
1267 인텔 CPU 등 취약점의 윈도 및 주요 리눅스 패치 상태 (업데이트 中) [7] la_Nube 2018.01.05 843
1266 인텔 CPU 등의 Kernel Side-Channel Attacks 주요 리눅스 패치 여부 [3] la_Nube 2018.01.05 934
1265 현재 커뮤니티 배포판에 등록된 18.3 xfce 32비트에 관하여... [3] Moordev 2018.01.05 520
1264 리눅스민트 19 Tara - 2018년 5~6월 출시 예정 [5] la_Nube 2018.01.04 659
1263 인텔 관련 이슈 [8] 변신 2018.01.03 574
1262 데비안/우분투 리눅스 커널(Kernel) 업데이트 - 4.9.65-3+deb9u1 [2] la_Nube 2018.01.02 519
1261 김프를 아시나요? [6] 세벌 2018.01.02 624
1260 sensors-detect 실행후 문제가 생기는데요. [3] 풍운의별 2018.01.01 492
1259 하모니카 다운로드 페이지에서 다운로드가 안됩니다 ㅠㅠ [질문] [5] Yummykoreanz 2017.12.31 564
1258 [해결] 브라우저에 관련 문제 [10] Normalist 2017.12.30 536
1257 mpv 그래픽 [3] Ohnine 2017.12.30 511
1256 리눅스 민트 설치 시 멈춤 현상 [6] file jissi 2017.12.28 657
loginbox
아직 회원이 아니세요? MEMBER JOIN