根据该通报,新的英特尔微码固件安全更新减轻了记录为CVE-2018-3646的L1终端故障(L1TF)漏洞(L1 Terminal Fault),该漏洞可能允许来宾虚拟机中的攻击者暴露来自主机操作系统的敏感信息或其他客人。
它还修复了众所周知的Spectre Variant 4安全漏洞(CVE-2018-3639),该漏洞可能允许攻击者通过旁道攻击暴露敏感信息(包括内核内存),以及另一种称为Rogue System Register Read的旁道攻击(RSRE)并记录为(CVE-2018-3640)。
“Zdenek Sojka,Rudolf Marek,Alex Zuepke和Innokentiy Sennovskiy发现,执行系统寄存器推测性读取的微处理器可能允许通过旁道攻击未经授权地泄露系统参数。攻击者可以使用它来暴露敏感信息,”更多想起阅读安全建议。
建议用户立即更新Intel微码固件
如果您在计算机上使用Ubuntu 18.04 LTS(Bionic Beaver),Ubuntu 16.04 LTS(Xenial Xerus)或Ubuntu 14.04 LTS(Trusty Tahr)操作系统,Canonical敦促您立即更新Intel微码固件,以及最新的Linux内核更新,并重新启动您的系统。
虽然Ubuntu 18.04 LTS用户必须更新到intel-microcode 3.20180807a.0ubuntu0.18.04.1,但Ubuntu 16.04 LTS必须更新到intel-microcode 3.20180807a.0ubuntu0.16.04.1,而Ubuntu 14.04 LTS用户必须更新到intel-microcode 3.20180807 a.0ubuntu0.14.04.1。有关如何更新Ubuntu安装,请按照以下的说明更新您的机器。
桌面版:
默认情况下,每天通知用户安全更新,每周通知用户非安全更新。 可以在Update Manager中设置Ubuntu如何提醒您以及如何配置系统以自动安装更新。 您可以随时按“Alt + F2”,输入“update-manager”并按Enter键来访问Update Manager。 它的设置可以通过按“设置”按钮进行调整。
一旦Update Manager打开,您可以查看并选择待定更新以及检查新更新。 只需按“安装更新”按钮即可将选定的软件包升级到更新版本。
服务器版:
如果安装了update-notifier-common软件包,Ubuntu会在控制台或远程登录时通过当天的消息(motd)提醒您有关未决更新。
登录后,您可以检查并应用新的更新:
$ sudo apt-get update
$ sudo apt-get dist-upgrade
执行更新时,首先查看适配器将要执行的操作,然后确认要应用更新(运行开发版本时尤其如此)。
如果您希望自动应用更新,请确保已安装无人参与升级软件包,然后运行“dpkg-reconfigure unattended-upgrades”。 请注意,更新可能会重新启动服务器上的服务,因此这可能不适用于所有环境。