오늘:
2,147
어제:
2,104
전체:
3,219,923

하모니카 묻고답하기

조회 수 1434 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

출처: http://la-nube.tistory.com/311 [la Nube's Lab. | 라 누베 연구소]



List of Meltdown and Spectre Vulnerability Advisories, Patches, & Updates


99F837455A50CF2A04E8E1


<이 내용은 2018년 1월 6일 22시 00분 기준입니다.>


--


Amazon Web Service (AWS, 아마존 웹 서비스)


아마존의 AWS는 고객들에게 빨리 패치할 것을 권장하고 있으며,

업데이트가 완료된 아마존리눅스(CentOS 기반)도 사용할 수 있다고 발표하였습니다.

https://aws.amazon.com/security/security-bulletins/AWS-2018-013/


--


AMD


AMD에서는 자사의 CPU와 관련하여 다음과 같이 발표하였습니다.

https://www.amd.com/en/corporate/speculative-execution


1번째 취약점(스펙터)

 : 소프트웨어 / 운영체제 업데이트를 통하여 해결되었거나 해결된다고 보고함, 성능에 대한 영향은 미미함


2번째 취약점(스펙터)

 : 아키텍처의 차이로 거의(near) 0의 위험, AMD CPU에서는 2번째 취약점에 대하여 증명되지 않음


3번째 취약점(멜트다운)

 : 아키텍처의 차이로 0의 위험


--


Android (안드로이드)


구글은 ARM 기반의 안드로이드 기기를 위한 안드로이드 보안패치수준 2018-01-05를 발표하였습니다.

이 안드로이드 보안패치수준의 적용으로 멜트다운 & 스펙터 취약점을 '완화'할 수 있습니다.

어드바이저리(권고문)는 https://source.android.com/security/bulletin/2018-01-01 입니다.


--


Antivirus Vendors (백신 업체)


각 백신 업체에서는 다음과 같이 어드바이저리(권고문)를 발표하였습니다.


AhnLab V3 (안랩 V3)

 : http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50125159


Bitdefender (비트디펜더)

 : https://www.bitdefender.com/consumer/support/answer/9033/?icid=overlayccom_all_pagesmicrosoft_security_update_01_2018


Emsisoft (엠시소프트)

 : https://blog.emsisoft.com/2018/01/04/chip-vulnerabilities-and-emsisoft-what-you-need-to-know/


ESTsecurity Alyac (이스트시큐리티 알약)

 : http://blog.alyac.co.kr/1472


eScan (이스캔)

 : http://blog.escanav.com/2018/01/meltdown-spectre-cpu-vulnerabilities/


ESET (이셋)

 : https://www.eset.com/us/about/newsroom/corporate-blog-list/corporate-blog/meltdown-spectre-how-to-protect-yourself-from-these-cpu-security-flaws/


Hauri ViRobot (하우리 바이로봇)

 : https://www.hauri.co.kr/security/notice_view.html?intSeq=465&page=1


Kaspersky (카스퍼스키)

 : https://www.kaspersky.com/blog/two-severe-vulnerabilities-found-in-intels-hardware/20620/

 : https://support.kaspersky.com/14042


Sophos (소포스)

 : https://community.sophos.com/kb/en-us/128053


Trend Micro (트렌드마이크로)

 : https://success.trendmicro.com/solution/1119183


Webroot (웹루트)

 : https://community.webroot.com/t5/Announcements/Microsoft-Patch-Release-Wednesday-January-3-2018/m-p/310146


--


Apple (애플)


애플은 iOS 11.2macOS 10.13.2tvOS 11.2에서 멜트다운 취약점을 '완화'하기 위한 조치가 이루어졌습니다.

그리고 사파리(Safari)에서 스펙터 취약점을 '완화'하기 위한 조치를 준비하고 있습니다.

어드바이저리(권고문)는 https://support.apple.com/en-us/HT208394 입니다.


--


ARM


ARM은 애플, 삼성 엑시노스, 스냅드래곤 등 모바일 기기의 프로세서 아키텍처를 설계하는 곳입니다.

ARM은 Cortex-R7, R8, A8, A9, A15, A17, A57, A72, A73, A75에서 멜트다운 또는 스펙터 취약점에 취약하다는 결론을 내렸습니다.


ARM은 Cortex-A8이 갤럭시 S, 아이폰 3GS, 아이폰 4 등에서 사용되었으며,

A9가 갤럭시 S2, 아이폰 4, 아이폰 4S, 옵티머스 2S 등에서, A15가 갤럭시 S4, 넥서스 10 등에서,

A57이 갤럭시 S6 (엑시노스 7420) 등에서 사용되고 있을 정도로, 스마트폰과 밀접한 관계를 맺고 있습니다.


이 부분은 애플이나 구글 안드로이드 등 해당 운영체제(OS)에서 패치를 통하여 해결 또는 '완화'해야 합니다.

어드바이저리(권고문)은 https://developer.arm.com/support/security-update 입니다.


--


Chromium (크로미움)


구글 주도의 크로미움 프로젝트는 크로미움 63의 chrome://flags에서 Strict Site Isolation(엄격한 사이트 격리)를 활성화할 것을 권장하고 있습니다.

어드바이저리(권고문)는 https://www.chromium.org/Home/chromium-security/ssca 입니다.


아울러 다음의 게시글을 참고하기 바랍니다.


크롬 63.0.3239.132 / 파이어폭스 57.0.4 (인텔 CPU 등 취약점 관련)

http://la-nube.tistory.com/309


웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치

http://la-nube.tistory.com/310


--


CERT


CERT에서는 다음과 같은 어드바이저리(권고문)을 발표하였습니다.

http://www.kb.cert.org/vuls/id/584653


--


Google (구글)


구글은 멜트다운 & 스펙터 취약점을 밝혀낸 세 팀 중의 하나이며,

이미 2016년 6월에 CPU 제조사에 이 취약점에 대한 보고를 한 바 있습니다.


구글은 Google Cloud와 G Suite에서 이번 취약점을 '완화'하는 조치를 완료하였습니다.

아울러 Chrome과 Chrome OS에서는 Strict Site Isolation을 활성화할 것을 권장하고 있습니다.

https://blog.google/topics/google-cloud/what-google-cloud-g-suite-and-chrome-customers-need-know-about-industry-wide-cpu-vulnerability/


아울러 다음의 게시글을 참고하기 바랍니다.


크롬 63.0.3239.132 / 파이어폭스 57.0.4 (인텔 CPU 등 취약점 관련)

http://la-nube.tistory.com/309


웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치

http://la-nube.tistory.com/310


--


Intel (인텔)


인텔은 이번 멜트다운 & 스펙터 취약점의 주인공 중 하나입니다.

특히, Critical(크리티컬) 등급을 받은 멜트다운 취약점의 주인공이기도 합니다.


인텔에서는 다음과 같이 언론 발표를 공개하였습니다.

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/


--


Linux Foundation (리눅스 재단)


리눅스 재단의 리눅스 커널 개발자인 Thomas Gleixner는 지난 12월에 새로운 KAISER 격리 패치에 대한 내용을 올렸습니다. 여기에는 멜트다운 & 스펙터 취약점을 리눅스에서 해결하는 것이 소개되어 있습니다.

https://lkml.org/lkml/2017/12/4/709


--


Microsoft Windows (마이크로소프트 윈도)


마이크로소프트(MS)는 멜트다운 & 스펙터 취약점에 대응하기 위한 긴급 보안 패치를 발표하였습니다.

윈도10에서는 미국시간으로 1월 4일부터 긴급 보안 패치를 시작하였습니다.

윈도7과 윈도8.1은 미국시간으로 1월 9일부터 시작됩니다.


다만, 호환성 문제로 인하여 일부 PC에서 BSOD(쉽게 말하면, 블루스크린)가 발생하는 사례가 보고되어,

특정 레지스트리 값을 추가하는 패치를 완료한 백신 사용자부터 우선적으로 패치가 이루어지고 있습니다.

그래서 해당 패치를 완료한 백신을 사용하는 경우에만, 윈도의 자동 업데이트를 통한 긴급 보안 패치를 받을 수 있습니다.


마이크로소프트의 어드바이저리(권고문)는 다음과 같습니다.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s

https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe


--


Microsoft Edge & Internet Explorer (마이크로소프트 엣지와 인터넷 익스플로러)


마이크로소프트(MS)는 엣지의 SharedArrayBuffer 지원을 제거하고,

엣지와 인터넷 익스플로러의 performance.now()의 resolution을 5마이크로초에서 20마이크로초로 줄이는

'완화' 조치를 발표하였습니다. 이 조치는 이번 긴급 보안 패치에 포함되어 있습니다.

https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/


아울러 다음의 게시글을 참고하기 바랍니다.


웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치

http://la-nube.tistory.com/310


--


Microsoft Azure (마이크로소프트 애저)


대부분의 애저 인프라스트럭처는 취약점에 대응하기 위한 업데이트를 완료하였습니다.

그러나, 아직 몇몇 애저에서는 업데이트가 진행 중이거나, 업데이트를 적용하기 위해 고객의 가상머신 재부팅을 기다리고 있습니다.

https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/


--


Mozilla (모질라)


모질라는 파이어폭스 57.0.4 업데이트를 통하여 취약점을 '완화'하는 조치를 발표하였습니다.

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/


아울러 다음의 게시글을 참고하기 바랍니다.


크롬 63.0.3239.132 / 파이어폭스 57.0.4 (인텔 CPU 등 취약점 관련)

http://la-nube.tistory.com/309


웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치

http://la-nube.tistory.com/310


--


Nvidia (엔비디아)


엔비디아는 자사의 GPU가 취약점에 영향을 받지 않을 것이라고 믿고 있다고 발표했으나, 아직 조사 중입니다.

엔비디아의 어드바이저리(권고문)은 다음과 같습니다.

https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/


--


Red Hat (레드햇)


레드햇은 빠른 시일 내에 리눅스 커널에 대한 보안 패치를 수행할 것을 강력하게 권장하고 있습니다.

레드햇의 어드바이저리(권고문)는 다음과 같습니다.

https://access.redhat.com/security/vulnerabilities/speculativeexecution?sc_cid=701f2000000tsLNAAY&


인텔 CPU 등의 Kernel Side-Channel Attacks 주요 리눅스 패치 여부

http://la-nube.tistory.com/307


인텔 CPU 등 취약점의 윈도 및 주요 리눅스 패치 상태 (업데이트 中)

http://la-nube.tistory.com/308


--


SUSE (수세)


수세 엔지니어가 파트너와 리눅스 커뮤니티의 합작으로 업스트림 리눅스 커널 패치에 참가하였기에,

수세는 빠르게 리눅스 커널에 대한 보안 패치를 거의 대부분 완료하였다고 합니다.

https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/


--


Ubuntu (우분투)


우분투에서는 1월 9일까지 새로운 리눅스 커널을 내놓겠다고 발표하였습니다.

https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/


아울러 다음의 게시글을 참고하기 바랍니다.


인텔 CPU 등의 Kernel Side-Channel Attacks 주요 리눅스 패치 여부

http://la-nube.tistory.com/307


인텔 CPU 등 취약점의 윈도 및 주요 리눅스 패치 상태 (업데이트 中)

http://la-nube.tistory.com/308


--


VMware (VM웨어)


VM웨어에서는 VMware Workstation Pro, Player 12.5.8 등의 업데이트를 발표하였습니다.

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html


--


Xen (젠)


젠 프로젝트에서도 다음과 같이 매우 상세한 어드바이저리(권고문)를 발표하였습니다.

https://xenbits.xen.org/xsa/advisory-254.html


--


<참고>

https://www.bleepingcomputer.com/news/security/list-of-meltdown-and-spectre-vulnerability-advisories-patches-and-updates/



출처: http://la-nube.tistory.com/311 [la Nube's Lab. | 라 누베 연구소]


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
공지 게시판에 질문하기 전 읽기 - 어떻게 질문을 하는 것이 좋을까? 2 0 Kevin 2019.11.18 29782
1150 파이어폭스(Firefox) 58.0 업데이트 0 la_Nube 2018.01.27 1412
1149 썬더버드(Thunderbird) 52.6.0 업데이트 3 0 la_Nube 2018.01.27 1213
1148 우분투 LTS (리눅스민트 포함) 리눅스 커널 업데이트 - 4.13.0-32 0 la_Nube 2018.01.26 1166
1147 크롬(Chrome) 64.0.3282.119 업데이트 0 la_Nube 2018.01.25 1229
1146 우분투 16.04/14.04 LTS 리눅스 커널 업데이트 - 2018.01.23. 3 0 la_Nube 2018.01.24 1172
1145 무료 통계 패키지 안내 5 0 행복한펭귄 2018.01.23 1444
1144 와인 3.0 공식 출시 10 0 행복한펭귄 2018.01.23 2777
1143 리브레 오피스 6.0 발표 4 file 0 행복한펭귄 2018.01.23 1261
1142 데비안 9/8/7 리눅스 커널 업데이트 - CVE-2017-5754 등 4 0 la_Nube 2018.01.23 1140
1141 구름 os 사용가능한가요 ? 1 0 사과나무79 2018.01.23 1513
1140 리눅스 시스템을 노리는 파이썬 기반 코인 채굴 공격 주의 6 0 la_Nube 2018.01.22 1390
1139 SoftMaker FreeOffice 안내 14 file 0 행복한펭귄 2018.01.17 1991
1138 액티브X 30개 공공기관에서 전격 제거 소식 12 0 행복한펭귄 2018.01.16 1199
1137 세이프존, 리눅스용 안티랜섬웨어 솔루션 무료 배포 17 0 행복한펭귄 2018.01.15 1532
1136 바로셀로나시 정부 독점 소프트웨어에서 오픈소스 소프트웨어로 마이그레이션 13 0 행복한펭귄 2018.01.15 1282
1135 번역은 어려워... 9 0 세벌 2018.01.12 1244
1134 우분투 17.04 지원종료 - 1월 13일 (유니티7으로 출시된 마지막 우분투) 4 0 la_Nube 2018.01.10 1342
1133 우분투 16.04의 (리눅스민트, 하모니카 포함) HWE 커널이 4.10에서 4.13으로 변경 6 0 la_Nube 2018.01.10 1433
1132 인텔 CPU 사건과 관련한 질문입니다. 9 0 블랙커피 2018.01.10 1147
1131 리눅스 커널 4.4.0-108 관련 6 0 변신 2018.01.10 1208
Board Pagination Prev 1 ... 65 66 67 68 69 70 71 72 73 74 ... 127 Next
/ 127
CLOSE