El 3 de enero de 2018, el equipo del Proyecto Zero de Google junto con varios otros investigadores universitarios identificó varios problemas de seguridad con ejecución especulativa, una técnica de optimización utilizada en microprocesadores para mejorar el rendimiento.
Couchbase es consciente de la clase de vulnerabilidades de procesador/OS reveladas recientemente, como Meltdown y Spectre. Estas afectan a procesadores y sistemas operativos modernos incluyendo Intel, AMD y ARM. Este artículo explica cómo este tipo de vulnerabilidades pueden afectar a cualquier aplicación de espacio de usuario como Couchbase.
Evaluación de la vulnerabilidad
Se han revelado dos variantes de vulnerabilidades asociadas a la ejecución especulativa. Las vulnerabilidades permiten a los atacantes extraer información confidencial del núcleo o de otros procesos a través de un canal lateral.
Deshielo explota los efectos secundarios de la ejecución fuera de orden para romper el aislamiento entre las aplicaciones de usuario y el sistema operativo, permitiendo que una aplicación acceda a la memoria de otra aplicación, así como a la memoria del sistema.
Spectre explota vulnerabilidades en la ejecución especulativa para romper el aislamiento entre aplicaciones, permitiendo que una aplicación acceda a memoria asociada a otra, que luego puede filtrarse a través de un canal lateral.
Los ataques exitosos ejecutan procesos maliciosos en el mismo host y procesador que su víctima objetivo. Por ello, cuando proceda, la vigilancia del acceso a las máquinas y la seguridad física de las mismas pueden constituir una mitigación temporal eficaz contra estos ataques.
Para mitigar completamente estas vulnerabilidades, el sistema operativo debe ser parcheado con correcciones recientes del kernel. También puede ser necesario activar estos parches y actualizar el firmware del procesador. Para garantizar la protección, Couchbase recomienda encarecidamente que los clientes consulten a sus proveedores de hardware y SO para conocer los pasos específicos a seguir.
Asegurar la pila
Al igual que otras aplicaciones que se ejecutan en el espacio de usuario, Couchbase y otras tecnologías de bases de datos pueden verse afectadas por estas vulnerabilidades.
La siguiente tabla describe lo que los clientes deben hacer, dependiendo del entorno en el que se ejecuta Couchbase. Couchbase recomienda a los clientes desplegar correcciones usando procedimientos normales para validar nuevos binarios antes de desplegarlos en entornos de producción.
| Descripción del escenario | Recomendaciones de Couchbase |
| Couchbase se ejecuta en metal desnudo (sin máquinas virtuales). Y ninguna otra lógica de aplicación no fiable (nivel de aplicación) se ejecuta en la misma máquina. |
(ver referencias más abajo) |
| Couchbase se ejecuta en una máquina virtual en un entorno de alojamiento público | En cada uno de los proveedores de nube compatibles (AWS, Azure y GCP) estamos actualizando las imágenes preconfiguradas para incluir la última versión parcheada del sistema operativo.
Los clientes que no utilicen esas imágenes preconfiguradas deben consultar proveedores de la nube para obtener orientación sobre la aplicación de parches del sistema operativo. |
| Couchbase se ejecuta en una máquina virtual en un entorno de alojamiento privado |
Además, recomendamos aislar Couchbase Server en hardware físico dedicado. (ver referencias más abajo) |
| Couchbase se ejecuta en una máquina física o virtual. NO está aislado de otra lógica de aplicación que se ejecute en la misma máquina. |
Recomendamos restringir el uso o bloquear la ejecución de código no fiable en la máquina. (ver referencias más abajo) |
Asesoramiento sobre resultados
Couchbase sigue evaluando el rendimiento de los binarios parcheados. El parche Meltdown para el kernel del SO evita fugas en la memoria del kernel del SO. Sin embargo, también puede cambiar la forma en que interactúa con el procesador, degradando el rendimiento.
La degradación depende en gran medida de la carga de trabajo (en consonancia con los primeros informes de Intel), y Couchbase recomienda realizar pruebas en su entorno antes del despliegue de producción. Esto también puede implicar el traslado a una máquina con una CPU más potente para soportar la carga adicional si es necesario.
Referencias
- AWS - https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
- Microsoft Windows - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- MAC OS - https://support.apple.com/en-us/HT208394
- Red Hat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- Ubuntu Linux - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
- Debian Linux - https://security-tracker.debian.org/tracker/CVE-2017-5754
- SuSE Linux - https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities
Póngase en contacto con nosotros
Si necesita hablar con nosotros sobre este tema, póngase en contacto con nosotros en support@couchbase.com.
