¿Se pueden evitar las vulnerabilidades de Meltdown / Spectre si no se instala un nuevo software en un servidor?

1

¿Es posible no instalar nuevos programas en un servidor y eludir cualquier vulnerabilidad de Meltdown / Specter porque es solo un problema recién identificado?

Tengo un servidor SLES que ejecuta una carga de base de datos fija. Es un Intel Xeon en AWS (hvm) VPC en una subred privada. Cuando miro hacia atrás, no se han agregado nuevos procesos ni binarios de programas a este servidor desde que se lanzó hace más de un año. Pero hemos aplicado los parches OS / DBMS recomendados regularmente (lo que obviamente trae un nuevo código)

Por lo que he leído hasta ahora, las cargas de trabajo de tipo de base de datos tendrán un gran impacto en el rendimiento de las correcciones. Ya se está ejecutando a aproximadamente 60-80% de CPU durante las horas pico, y está creciendo, por lo que espero actualizar a un servidor más grande en un plazo de 2-3 meses.

Debajo de esto, ¿tiene sentido omitir la corrección? En caso afirmativo, ¿hasta qué punto se extenderá?

No estoy muy familiarizado con los núcleos y máquinas virtuales.

Muchas gracias.

    
pregunta Dinesh 08.01.2018 - 00:05
fuente

1 respuesta

4

No.

Meltdown y Spectre hacen que cualquier vulnerabilidad sea diez veces peor. Si un programa existente (que dejaría de actualizar si lo intentara) tenía una vulnerabilidad conocida que permitía cualquier tipo de ejecución remota de código (incluso como nadie), un atacante podría usar Meltdown para escalar los permisos de raíz. Parche sus sistemas.

    
respondido por el Sirens 08.01.2018 - 00:12
fuente

Lea otras preguntas en las etiquetas