{"id":4413,"date":"2018-01-05T11:13:47","date_gmt":"2018-01-05T19:13:47","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=4413"},"modified":"2025-12-19T00:30:46","modified_gmt":"2025-12-19T08:30:46","slug":"speculative-execution-processor-vulnerabilities-meltdown-spectre-need-know","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/pt\/speculative-execution-processor-vulnerabilities-meltdown-spectre-need-know\/","title":{"rendered":"Vulnerabilidades de execu\u00e7\u00e3o especulativa - Meltdown e Spectre"},"content":{"rendered":"

Em 3 de janeiro de 2018, a equipe do Project Zero do Google, juntamente com v\u00e1rios outros pesquisadores universit\u00e1rios <\/span>identificou v\u00e1rios problemas de seguran\u00e7a<\/span><\/a> com execu\u00e7\u00e3o especulativa, uma t\u00e9cnica de otimiza\u00e7\u00e3o usada em microprocessadores para melhorar o desempenho.<\/span><\/p>\n

O Couchbase est\u00e1 ciente da classe de vulnerabilidades de processador\/SO recentemente divulgada, como Meltdown e Spectre. Elas afetam os processadores e sistemas operacionais modernos, incluindo Intel, AMD e ARM. Este artigo explica como esses tipos de vulnerabilidades podem afetar qualquer aplicativo de espa\u00e7o do usu\u00e1rio, como o Couchbase<\/span>.<\/span><\/i><\/p>\n

Avalia\u00e7\u00e3o de vulnerabilidade <\/span><\/h2>\n

Duas variantes de vulnerabilidades associadas \u00e0 execu\u00e7\u00e3o especulativa foram divulgadas. As vulnerabilidades permitem que os invasores extraiam informa\u00e7\u00f5es confidenciais do kernel ou de outros processos por meio de um canal lateral. <\/span><\/p>\n

Meltdown<\/b><\/a> explora os efeitos colaterais da execu\u00e7\u00e3o fora de ordem para quebrar o isolamento entre os aplicativos do usu\u00e1rio e o sistema operacional, permitindo que um aplicativo acesse a mem\u00f3ria de outro aplicativo, bem como a mem\u00f3ria do sistema.<\/span><\/p>\n

Espectro<\/b><\/a> explora vulnerabilidades na execu\u00e7\u00e3o especulativa para quebrar o isolamento entre aplicativos, permitindo que um aplicativo acesse a mem\u00f3ria associada a outro, que pode ser vazada por meio de um canal lateral. <\/span><\/p>\n

Os ataques bem-sucedidos executam processos mal-intencionados no mesmo host e processador da v\u00edtima-alvo.<\/span> Dessa forma, quando aplic\u00e1vel, o policiamento do acesso \u00e0s m\u00e1quinas e a seguran\u00e7a f\u00edsica das m\u00e1quinas podem ser uma atenua\u00e7\u00e3o tempor\u00e1ria eficaz contra esses ataques.<\/span><\/p>\n

Para atenuar totalmente essas vulnerabilidades, o sistema operacional deve ser corrigido com as corre\u00e7\u00f5es recentes do kernel. Tamb\u00e9m pode ser necess\u00e1rio ativar esses patches e atualizar o firmware do processador. Para garantir a prote\u00e7\u00e3o, a Couchbase recomenda enfaticamente que os clientes consultem seus fornecedores de hardware e sistema operacional para saber as etapas espec\u00edficas a serem seguidas.<\/span><\/p>\n

Protegendo a pilha<\/span><\/h2>\n

Como acontece com outros aplicativos executados no espa\u00e7o do usu\u00e1rio, o Couchbase e outras tecnologias de banco de dados podem ser afetados por essas vulnerabilidades. \u00a0<\/span><\/p>\n

A tabela a seguir descreve o que os clientes devem fazer, dependendo do ambiente em que o Couchbase est\u00e1 sendo executado. O Couchbase recomenda que os clientes implementem corre\u00e7\u00f5es usando procedimentos normais para validar novos bin\u00e1rios antes de implement\u00e1-los em ambientes de produ\u00e7\u00e3o.<\/span><\/p>\n

\n\n\n\n\n\n\n
Descri\u00e7\u00e3o do cen\u00e1rio<\/th>\nRecomenda\u00e7\u00f5es do Couchbase<\/th>\n<\/tr>\n
\n Couchbase is run on bare metal (no virtual machines). And no other untrusted
\n application logic (application tier) is run on the same machine\n <\/td>\n		\n 1. Apply Linux\/Windows OS patches
\n 2. Consult with your Linux\/Windows OS vendor about whether and how to enable
\n the firmware changes.
\n (veja abaixo as refer\u00eancias)\n <\/td>\n<\/tr>\n
\n O Couchbase \u00e9 executado em uma m\u00e1quina virtual em um ambiente de hospedagem p\u00fablica\n <\/td>\n\n On each of the supported cloud providers (AWS, Azure & GCP) we are in the
\n process of updating pre-configured images to include the latest OS patched
\n version.
\n Customers not using those pre-configured images should refer to cloud
\n providers for guidance on applying OS patches.\n <\/td>\n<\/tr>\n
\n O Couchbase \u00e9 executado em uma m\u00e1quina virtual em um ambiente de hospedagem privada\n <\/td>\n\n 1. Apply Linux\/Windows OS patches
\n 2. Consult with your Linux\/Windows OS vendor about whether and how to enable
\n the firmware changes.
\n Additionally, we recommend isolating Couchbase Server on dedicated physical
\n hardware.
\n (veja abaixo as refer\u00eancias)\n <\/td>\n<\/tr>\n
\n Couchbase is run in a physical or virtual machine NOT isolated from other
\n application logic running on the same machine\n <\/td>\n		\n 1. Apply Linux\/Windows OS patches
\n 2. Consult with your Linux\/Windows OS vendor about whether and how to enable
\n the firmware changes.
\n We recommend restricting the use of or blocking untrusted code from
\n executing on the machine.
\n (veja abaixo as refer\u00eancias)\n <\/td>\n<\/tr>\n<\/table>\n<\/div>\n

 <\/p>\n

Consultoria de desempenho<\/span><\/h2>\n

O Couchbase continua a avaliar o desempenho nos bin\u00e1rios corrigidos. A corre\u00e7\u00e3o do kernel do sistema operacional Meltdown evita o vazamento da mem\u00f3ria do kernel do sistema operacional. No entanto, ele tamb\u00e9m pode alterar a maneira como interage com o processador, prejudicando o desempenho. <\/span>
\n<\/span>
\n<\/span>A degrada\u00e7\u00e3o \u00e9 altamente dependente da carga de trabalho (consistente com os primeiros relat\u00f3rios da Intel), e a Couchbase recomenda testar em seu ambiente antes da implanta\u00e7\u00e3o na produ\u00e7\u00e3o. Isso tamb\u00e9m pode envolver a mudan\u00e7a para uma m\u00e1quina com CPU mais potente para suportar a carga extra, se necess\u00e1rio.<\/span><\/p>\n

Refer\u00eancias<\/span><\/h2>\n