멜트다운으로부터 윈도서버를 보호하는 법

[지디넷코리아] 멜트다운으로부터 윈도서버를 보호하는 법
멜트다운과 스펙터 프로세서 버그는 수많은 데스크톱 사용자를 걱정에 빠뜨렸다. 그러나 진짜 고통은 PC나 스마트폰보다 서버에서...

http://m.zdnet.co.kr/news_view.asp?article_id=20180119155822#imadnews

최신 CPU를 대상으로 한 Side-Channel 공격

시스템 권한을 가진(시스템 로그인) 사용자가 Kernel Memory 공간의 임의의 메모리 정보를 읽을 수 있습니다.

[주요 내용]
  - 해당 취약점을 악용하기 위해서는 시스템에 접근할 수 있는 권한 필요
  - CPU 설계 오류로 인해 4GByte 영역의 데이터를 임의로 읽기 가능 

[취약점 확인 방법]
  - 아래 경로에서 Tool을 이용하여 진단
  - https://downloadcenter.intel.com/download/27150
  - https://developer.arm.com/support/security-update
  - AMD 미발표 (참고 : http://www.amd.com/en/corporate/speculative-execution) 

[대응 방안]
  - CPU 교체
  - OS 별 보안 업데이트 적용
    ※ 업데이트 적용 시 시스템 성능이 저하될 수 있으며 환경에 따라 정도의 차이가 있음 

[관련 CVE]
bounds check bypass (CVE-2017-5753) – Spectre Attack
branch target injection (CVE-2017-5715) – Spectre Attack
rogue data cache load (CVE-2017-5754) – Meltdown Attack

[관련 정보]
https://meltdownattack.com/
https://spectreattack.com/
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
https://www.us-cert.gov/ncas/current-activity/2018/01/03/Meltdown-and-Spectre-Side-Channel-Vulnerabilities
https://github.com/IAIK/KAISER
https://gruss.cc/files/kaiser.pdf
https://gruss.cc/files/prefetch.pdf
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5aa90a84589282b87666f92b6c3c917c8080a9bf
https://lwn.net/Articles/741878/
https://lwn.net/Articles/737940/
http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case-of-the-linux-page-table
https://nakedsecurity.sophos.com/2018/01/03/fckwit-aka-kaiser-aka-kpti-intel-cpu-flaw-needs-low-level-os-patches/