IT

[ETC] Intel CPU 버그에 의한 취약점에 대해서

yueisu 2018. 1. 6. 16:24

연초부터 심각한 버그로 업계가 들끓고 있네요. :)


보안 취약성에 대해 표준화를 추진하는 CVE (Common Vulnerabilities and Exposures)로 아래의 취약성이 공개되었죠. 취약성의 내용은 CPU 아키텍쳐 버그에 대한 것입니다.



CVE-2017-5753과 CVE-2017-5715는 별명 "Spectre", CVE-2017-5754는 "Meltdown"란 별명으로 둘 다 심각한 버그라고 합니다.


"Meltdown"은 1995년 이후 릴리스된 Intel CPU의 모든 세대가 버그의 영향을 받을 수 있다고 하며 이 버그로 인해 커널 메모리의 정보가 악의를 가진 유저에 의해 참조할 수 있다고 합니다. 이 문제는 CPU 아키텍쳐의 문제이기 때문에 백신이나 암호화로도 취약점을 막을 수 없다고 하는군요. ("Meltdown"は은 AMD사의 CPU에서는 영향이 보고되지 않고 있다고 합니다)


"Spectre"는 임의의 프로그램으로부터 유저 프로그램의 정보를 참조할 수 있는 버그라고 합니다. 둘다 심각한 버그지만 "Meltdown"이 훨씬 문제인거 같네요.


버그도 문제이지만, 버그를 수정할 패치를 적용후 CPU의 성능이 최대 30% 저하되는 검증 결과가 보고되어 파문이 커지고 있으며 Intel사가 버그에 대해 "타사의 CPU에서도 발생할 수 있으며 수정 패치 적용후 성능이 저하되는 문제도 일반 유저에게는 그다지 큰 영향을 끼치지 않는다"라고 발표했습니다만, 반응은 잠잠해지질 않네요.


취약성의 대상이 과거 20년간 릴리스된 모든 CPU이기 때문인지 그 여파는 거대한 듯, Google사나 Microsoft사、Amazon사、RedHat사 등 업계의 대표 기업들이 속속 내용을 공개해고 있습니다.


VMware사도 본 취약성에 대한 보안 권고를 공개하였고 "Spectre"에 대한 패치를 릴리스 했습니다. "Meltdown"에 대해서는 아래의 코멘트만 발표, 수정 패치의 릴리스는 없습니다.


A third issue due to speculative execution, Rogue Data Cache Load (CVE-2017-5754), was disclosed along the other two issues. It does not affect ESXi, Workstation, and Fusion because ESXi does not run untrusted user mode code, and Workstation and Fusion rely on the protection that the underlying operating system provides.


ESXi는 신뢰하지않는 유저 모드의 코드는 실행하질 않고, Workstation과 Fusion은 OS가 제공하는 보호기능에 의존하고 있기 때문에 "Meltdown"의 영향은 받질않는다는거 같네요. :)


Nutanix사 역시 1월 8일 패치 릴리스의 타임라인을 공개하겠다고 발표했습니다.


버그에 대상이 광범위하기 때문에 한동안 주의깊게 이용중인 솔루션, 하드웨어 벤더들의 대응상황을 체크하는 것이 좋을 듯 싶습니다.