El equipo de seguridad de FreeBSD ya está trabajando en parchear Meltdown y Spectre
Las vulnerabilidades Meltdown y Spectre son posiblemente las vulnerabilidades del año, ya que afectan a la gran mayoría de procesadores que hay actualmente, independientemente del sistema operativo utilizado. En RedesZone hemos realizado un resumen de cómo te afectan estas dos vulnerabilidades. Actualmente la mayoría de sistemas operativos ya están parcheados, pero faltaba conocer qué van a hacer en FreeBSD, una de las distribuciones más importantes y que es la base de varias distribuciones orientadas a Firewall o NAS entre otros.
El equipo de seguridad de FreeBSD responde a Meltdown y Spectre
El equipo de seguridad de FreeBSD ha publicado un comunicado oficial indicando que fueron notificados de estas vulnerabilidades a finales de diciembre, y que recibieron una sesión informativa con una fecha original de embargo del 9 de enero. El equipo recibió esta noticia relativamente tarde, por lo el parche lo tendremos disponible próximamente, ya que están actualmente trabajando en ello.
Solución a Meltdown: Prioridad máxima y la próxima semana tendremos el parche en beta
En términos de prioridades, el primer paso es mitigar el fallo de Meltdown (CVE-2017-5754), citado como la variante 3 por Google Project Zero. El equipo ya está trabajando para solucionarlo cuanto antes, pero debido a que va a haber que realizar grandes cambios, es necesario esperar algo más de tiempo. Actualmente están con la arquitectura amd64 y esta semana se completará la fase de desarrollo, por lo que la próxima semana se espera que se pueda lanzar una versión beta de este parche para probarlo a fondo.
Cuando el parche haya pasado todas las revisiones, lo incorporarán en la versión FreeBSD 11.1, y adicionalmente lo incorporarán también en las versiones 10.3 y 10.4 de FreeBSD, ya que actualmente tienen aún soporte para actualizaciones.
FreeBSD ha comunicado que este parche se podrá seleccionar a través de un parámetro ajustable, por defecto, si tenemos procesador Intel se activará, y los que tengan procesadores AMD el parche estará desactivado ya que no les afecta según los informes. FreeBSD ha declarado que es posible que en algunos escenarios el rendimiento se vea muy comprometido, por este motivo dará a los usuarios la posibilidad de desactivarlo bajo su propio riesgo.
Spectre
En las vulnerabilidades de Spectre, han comunicado que es mucho más difícil de ver si están afectados. En la variante 1 (CVE-2017-5753) se requiere análisis para determinar cuándo se es vulnerable a este fallo, y posteriormente construir “barreras” para mitigar el problema. Actualmente no han realizado análisis para conocer dónde son vulnerables, aunque suponen que el número de casos es bastante pequeño. Están trabajando en evaluar si están afectados y cómo afrontarlo.
La variante 2 de Spectre (CVE-2017-5715) es más complicada, ya que afecta tanto a los procesos normales como bhyve. Actualmente hay un parche propuesto para LLVM, que introduce el concepto “repoline” para mitigar el problema. Es bastante probable que lo incorporen próximamente en sus versiones, pero FreeBSD actualmente utiliza versiones anteriores de LLVM por lo que no saben si tendrán parches.
Por último, han declarado que hay correcciones de microcódigo de CPU que podrían ayudar a mitigar estos problemas, pero eso está por ver en estos momentos.
Todas las distribuciones basadas en FreeBSD tendrán que actualizar cuanto antes
Los desarrolladores de distribuciones basadas en FreeBSD, como por ejemplo Pfsense y OPNSense, están pendientes del equipo de desarrollo de FreeBSD para parchear sus propios sistemas operativos. Lo mismo ocurre con los sistemas operativos orientados a servidores NAS como FreeNAS y NAS4Free.
Esperamos que próximamente lancen el parche para Meltdown y que el rendimiento no se vea demasiado comprometido, ya que estas distribuciones son usadas ampliamente por empresas.
Via: www.redeszone.net