El 3 de enero de 2018, el equipo del Proyecto Zero de Google junto con varios otros investigadores universitarios identificó varios problemas de seguridad con ejecución especulativa, una técnica de optimización utilizada en microprocesadores para mejorar el rendimiento.
Couchbase es consciente de la clase de vulnerabilidades de procesador/OS reveladas recientemente, como Meltdown y Spectre. Estas afectan a procesadores y sistemas operativos modernos incluyendo Intel, AMD y ARM. Este artículo explica cómo este tipo de vulnerabilidades pueden afectar a cualquier aplicación de espacio de usuario como Couchbase.
Evaluación de la vulnerabilidad
Se han revelado dos variantes de vulnerabilidades asociadas a la ejecución especulativa. Las vulnerabilidades permiten a los atacantes extraer información confidencial del núcleo o de otros procesos a través de un canal lateral.
Deshielo explota los efectos secundarios de la ejecución fuera de orden para romper el aislamiento entre las aplicaciones de usuario y el sistema operativo, permitiendo que una aplicación acceda a la memoria de otra aplicación, así como a la memoria del sistema.
Spectre explota vulnerabilidades en la ejecución especulativa para romper el aislamiento entre aplicaciones, permitiendo que una aplicación acceda a memoria asociada a otra, que luego puede filtrarse a través de un canal lateral.
Los ataques exitosos ejecutan procesos maliciosos en el mismo host y procesador que su víctima objetivo. Por ello, cuando proceda, la vigilancia del acceso a las máquinas y la seguridad física de las mismas pueden constituir una mitigación temporal eficaz contra estos ataques.
Para mitigar completamente estas vulnerabilidades, el sistema operativo debe ser parcheado con correcciones recientes del kernel. También puede ser necesario activar estos parches y actualizar el firmware del procesador. Para garantizar la protección, Couchbase recomienda encarecidamente que los clientes consulten a sus proveedores de hardware y SO para conocer los pasos específicos a seguir.
Asegurar la pila
Al igual que otras aplicaciones que se ejecutan en el espacio de usuario, Couchbase y otras tecnologías de bases de datos pueden verse afectadas por estas vulnerabilidades.
La siguiente tabla describe lo que los clientes deben hacer, dependiendo del entorno en el que se ejecuta Couchbase. Couchbase recomienda a los clientes desplegar correcciones usando procedimientos normales para validar nuevos binarios antes de desplegarlos en entornos de producción.
| Descripción del escenario | Recomendaciones de Couchbase |
|---|---|
|
Couchbase se ejecuta en hardware físico (sin máquinas virtuales). Y ningún otro sistema no confiable. La lógica de la aplicación (capa de aplicación) se ejecuta en la misma máquina. |
1. Aplicar los parches del sistema operativo Linux/Windows. 2. Consulte con su proveedor de sistemas operativos Linux/Windows si es posible habilitar esta función y cómo hacerlo. los cambios en el firmware. (ver referencias más abajo) |
| Couchbase se ejecuta en una máquina virtual en un entorno de alojamiento público |
En cada uno de los proveedores de nube compatibles (AWS, Azure y GCP) estamos en el Proceso de actualización de imágenes preconfiguradas para incluir los últimos parches del sistema operativo. versión. Los clientes que no utilicen esas imágenes preconfiguradas deben consultar la nube. proveedores para obtener orientación sobre la aplicación de parches del sistema operativo. |
| Couchbase se ejecuta en una máquina virtual en un entorno de alojamiento privado |
1. Aplicar los parches del sistema operativo Linux/Windows. 2. Consulte con su proveedor de sistemas operativos Linux/Windows si es posible habilitar esta función y cómo hacerlo. los cambios en el firmware. Además, recomendamos aislar Couchbase Server en un servidor físico dedicado. hardware. (ver referencias más abajo) |
|
Couchbase se ejecuta en una máquina física o virtual NO aislada de otras. lógica de aplicación que se ejecuta en la misma máquina |
1. Aplicar los parches del sistema operativo Linux/Windows. 2. Consulte con su proveedor de sistemas operativos Linux/Windows si es posible habilitar esta función y cómo hacerlo. los cambios en el firmware. Recomendamos restringir el uso o bloquear el código no confiable de ejecutándose en la máquina. (ver referencias más abajo) |
Asesoramiento sobre resultados
Couchbase sigue evaluando el rendimiento de los binarios parcheados. El parche Meltdown para el kernel del SO evita fugas en la memoria del kernel del SO. Sin embargo, también puede cambiar la forma en que interactúa con el procesador, degradando el rendimiento.
La degradación depende en gran medida de la carga de trabajo (en consonancia con los primeros informes de Intel), y Couchbase recomienda realizar pruebas en su entorno antes del despliegue de producción. Esto también puede implicar el traslado a una máquina con una CPU más potente para soportar la carga adicional si es necesario.
Referencias
- AWS - https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
- Microsoft Windows - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- MAC OS - https://support.apple.com/en-us/HT208394
- Red Hat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
- Debian Linux - https://security-tracker.debian.org/tracker/CVE-2017-5754
- SuSE Linux - https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities
Póngase en contacto con nosotros
Si necesita hablar con nosotros sobre este tema, póngase en contacto con nosotros en support@couchbase.com.
