2018년 1월 3일, 구글의 프로젝트 제로 팀은 다른 여러 대학 연구자들과 함께 다음을 수행했습니다. 몇 가지 보안 문제를 확인했습니다. 마이크로프로세서에서 성능 향상을 위해 사용되는 최적화 기법인 추측 실행을 사용합니다.
카우치베이스는 최근 공개된 멜트다운 및 스펙터와 같은 프로세서/OS 취약점 클래스에 대해 알고 있습니다. 이러한 취약점은 Intel, AMD, ARM을 포함한 최신 프로세서 및 운영 체제에 영향을 미칩니다. 이 문서에서는 이러한 종류의 취약점이 Couchbase와 같은 사용자 공간 애플리케이션에 어떤 영향을 미칠 수 있는지 설명합니다..
취약성 평가
투기적 실행과 관련된 두 가지 변종 취약점이 발견되었습니다. 이 취약점을 통해 공격자는 사이드 채널을 통해 커널 또는 다른 프로세스에서 기밀 정보를 유출할 수 있습니다.
멜트다운 는 비정상적인 실행의 부작용을 악용하여 사용자 애플리케이션과 운영 체제 간의 격리를 깨고 애플리케이션이 시스템 메모리뿐만 아니라 다른 애플리케이션의 메모리에도 액세스할 수 있도록 합니다.
스펙터 는 추측 실행의 취약점을 악용하여 애플리케이션 간의 격리를 깨고, 한 애플리케이션이 다른 애플리케이션과 연결된 메모리에 액세스하여 사이드 채널을 통해 유출될 수 있도록 합니다.
공격에 성공하면 공격 대상 피해자와 동일한 호스트 및 프로세서에서 악성 프로세스를 실행합니다. 따라서 해당되는 경우, 기계에 대한 접근을 통제하고 물리적 기계 보안을 강화하면 이러한 공격에 대한 효과적인 일시적 방어책이 될 수 있습니다.
이러한 취약점을 완전히 완화하려면 운영 체제에 최신 커널 수정 패치를 적용해야 합니다. 또한 이러한 패치를 활성화하고 프로세서 펌웨어를 업데이트해야 할 수도 있습니다. 보호를 보장하기 위해 카우치베이스는 고객이 하드웨어 및 OS 공급업체에 구체적인 조치에 대해 문의할 것을 강력히 권장합니다.
스택 보안
사용자 공간에서 실행되는 다른 애플리케이션과 마찬가지로 Couchbase 및 기타 데이터베이스 기술도 이러한 취약점의 영향을 받을 수 있습니다.
다음 표는 카우치베이스가 실행되는 환경에 따라 고객이 수행해야 할 작업을 간략하게 설명합니다. 카우치베이스는 고객이 프로덕션 환경에 배포하기 전에 일반적인 절차를 사용하여 새 바이너리의 유효성을 검사하여 수정 사항을 배포할 것을 권장합니다.
| 시나리오 설명 | 카우치베이스 권장 사항 |
|---|---|
|
Couchbase는 베어메탈(가상 머신 없음)에서 실행됩니다. 그리고 신뢰할 수 없는 다른 애플리케이션 로직(애플리케이션 계층)이 동일한 시스템에서 실행됩니다. |
1. Linux/Windows OS 패치 적용 2. 사용 여부 및 사용 방법은 Linux/Windows OS 공급업체에 문의하세요. 펌웨어가 변경됩니다. (참조는 아래 참조) |
| 카우치베이스는 퍼블릭 호스팅 환경의 가상 머신에서 실행됩니다. |
지원되는 각 클라우드 제공업체(AWS, Azure 및 GCP)에서 당사는 최신 OS 패치를 포함하도록 사전 구성된 이미지를 업데이트하는 프로세스 버전입니다. 이러한 사전 구성된 이미지를 사용하지 않는 고객은 Cloud 제공업체에 문의하여 OS 패치 적용에 대한 안내를 받으세요. |
| Couchbase는 프라이빗 호스팅 환경의 가상 머신에서 실행됩니다. |
1. Linux/Windows OS 패치 적용 2. 사용 여부 및 사용 방법은 Linux/Windows OS 공급업체에 문의하세요. 펌웨어가 변경됩니다. 또한 전용 물리 서버에서 Couchbase Server를 격리하는 것이 좋습니다. 하드웨어. (참조는 아래 참조) |
|
카우치베이스는 물리적 또는 가상 머신에서 실행됩니다. 동일한 시스템에서 실행되는 애플리케이션 로직 |
1. Linux/Windows OS 패치 적용 2. 사용 여부 및 사용 방법은 Linux/Windows OS 공급업체에 문의하세요. 펌웨어가 변경됩니다. 다음에서 신뢰할 수 없는 코드의 사용을 제한하거나 차단하는 것이 좋습니다. 컴퓨터에서 실행합니다. (참조는 아래 참조) |
성능 자문
카우치베이스는 패치된 바이너리에 대한 성능을 계속 평가하고 있습니다. 멜트다운 OS 커널 패치는 OS 커널 메모리 누수를 방지합니다. 그러나 프로세서와 상호 작용하는 방식이 변경되어 성능이 저하될 수도 있습니다.
성능 저하는 워크로드에 따라 크게 달라지며(인텔의 초기 보고서와 일치), 프로덕션 배포 전에 사용자 환경에서 테스트할 것을 Couchbase는 권장합니다. 또한 필요한 경우 추가 부하를 감당하기 위해 더 강력한 CPU 시스템으로 이동해야 할 수도 있습니다.
참조
- AWS - https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
- Microsoft Windows - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
- MAC OS - https://support.apple.com/en-us/HT208394
- Red Hat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- 우분투 리눅스 - https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
- Debian Linux - https://security-tracker.debian.org/tracker/CVE-2017-5754
- SuSE Linux - https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities
문의하기
이 문제에 대해 상담이 필요한 경우 다음 연락처로 문의하세요. support@couchbase.com.
