Ver Mensaje Individual
  #7  
Antiguo 08-ene-2018, 18:23
Avatar de NestorAcevedo
NestorAcevedo NestorAcevedo está desconectado
Habitual
 
Fecha de Ingreso: 25-agosto-2008
Ubicación: Bogotá D.C, Colombia
Versión: Tumbleweed
Mensajes: 253
Agradecimientos: 9
Agradecido 14 Veces en 12 Mensajes
Poder de Credibilidad: 10
NestorAcevedo está en el buen camino
Cita:
Iniciado por DiabloRojo Ver Mensaje
Hola compañeros.

Como ya sabéis desde el pasado día 3 de enero, se ha notificado dos importantes vulnerabilidades llamadas Spectre y Meltdown que afecta a los microprocesadores.

Consiste básicamente en la capacidad de un usuario sin privilegios de leer la memoria protegida del kernel, donde se almacena las contraseñas, como podéis ver en este video, saltándose la protección del kernel ya que llama directamente al microprocesador aprovechando un error en el diseño del microprocesador, en concreto, en la llamada ejecución especulativa que consiste en anticipar la siguiente instrucción a ejecutar, función que hace que los microprocesadores sean mas rápidos. Lamentablemente casi todos los microprocesadores modernos implantan dicha función.



No se conoce los detalles de los bugs, pero mas temprano que tarde se hará publico y los hackers harán buen uso de esas vulnerabilidades ya que se puede usar el navegador para leer la memoria protegida, por lo que toca actualizarlos.

Lo peor de todo es que también afecta a los móviles donde los parches tardara mucho tiempo en salir y muchos móviles no serán actualizados quedando desprotegidos.

En openSUSE ya están los parches en los repos Updates, así que toca actualizarse a los ultimas versiones del kernel, kernel-firmware, qemu, ucode-intel, ImageMagick y aplicaciones. Lo malo es que dichos parches no se aplicaran sobre las versiones anteriores de Leap ya que están descatalogadas. Leerlo aqui: https://www.suse.com/es-es/support/kb/doc/?id=7022512

Tengo openSUSE Leap 42.2 y las salidas corresponde a esa version y no para Leap 42.3 y TW, aunque los comandos se puede aplicar en todas las versiones.
Código:
zypper list-patches --all | grep 2018
openSUSE-Leap-42.2-Update-Oss     | openSUSE-2018-10   | recommended | moderate  | restart     | aplicado        | Recommended update for libsolv, libzypp, zypper                                  
openSUSE-Leap-42.2-Update-Oss     | openSUSE-2018-3    | security    | important | reboot      | aplicado        | Security update for the Linux Kernel                                             
openSUSE-Leap-42.2-Update-Oss     | openSUSE-2018-4    | security    | important | ---         | aplicado        | Security update for ucode-intel                                                  
openSUSE-Leap-42.2-Update-Oss     | openSUSE-2018-5    | security    | moderate  | ---         | no es necesario | Security update for nodejs4                                                      
openSUSE-Leap-42.2-Update-Oss     | openSUSE-2018-6    | security    | moderate  | ---         | no es necesario | Security update for clamav-database                                              
openSUSE-Leap-42.2-Update-Oss     | openSUSE-2018-7    | security    | important | ---         | aplicado        | Security update for ImageMagick                                                                                                                                                                                                                                        
openSUSE-Leap-42.2-Update-Oss     | openSUSE-2018-9    | security    | important | ---         | aplicado        | Security update for kernel-firmware 
Ejecutar estos comandos para mas información, valido para Leap 42.2.
zypper patch-info openSUSE-2018-3
zypper patch-info openSUSE-2018-4
zypper patch-info openSUSE-2018-7
zypper patch-info openSUSE-2018-9


Saludos.

PD: Acabo de leer que los Raspberry Pi son invulnerables a esta amenaza ya que usan microprocesadores ARM mas sencillos y mas baratos sin la función ejecución especulativa.
Bueno, pero de acuerdo a Platzi https://m.youtube.com/watch?feature=...&v=tNwjKLrBDZ8 y a Xataka https://www.xataka.com/seguridad/mel...ntel-amd-y-arm los procesadores ARM también son vulnerables por lo que todo proyecto en RPI es susceptible al mismo bug.

Enviado desde mi HUAWEI M2-A01W mediante Tapatalk
Responder Citando
El Siguiente Usuario Ha Dado las Gracias a NestorAcevedo Por Este Mensaje:
SergioNN (09-ene-2018)