如何修复Ubuntu中与幽灵和熔毁bug相关的漏洞？

Question

我刚刚了解到了熔毁与幽灵的bug。我读到：

对于Linux (KPTI (以前的KAISER))、Windows和OS，有一些防止崩溃的补丁。

按照引文中的链接，我找到了一篇文章，它太模糊了，我无法理解。尽管如此，它说：

结果补片集 (仍被称为“凯撒”)正在进行第三次修订，似乎很可能在相对较短的时间内找到其上游之路。

再次跟随上述引文中的链接，我进入了一个页面，更新了2017年Novermber的第10期，其中我读到了以下内容：

凯撒使击败KASLR变得更加困难，但却使系统和中断的速度变慢。这些补丁是基于格拉茨技术大学()的一个团队在这里发布的1所做的工作。主要的补充是对Intel PCID的支持，它建立在Andy的PCID工作的基础上，合并为4.14。PCID使得KAISER的开销对于各种各样的用例非常合理。

上面的页面还链接到fix (?) 这里的代码，在这里我还可以看到内核4.14。

由此得出的结论是，修复只适用于内核4.14 (以及上面的？)。但是，所有当前支持的Ubuntu版本都使用较低的内核.

。

最新的Ubuntu (17.10)使用内核4.13。最新的LTS Ubuntu (16.04)使用4.4。

这是否意味着这种错误的修复对于Ubuntu是不可用的？看起来Ubuntu18.04将基于内核4.15，但还没有发布。

还要注意的是，修复似乎只是指熔毁，而不是幽灵。这意味着目前在任何地方都没有修复此类错误的方法。

Answer 1

现在可以提供

更新了!

• 2017年11月9日:英特尔根据NDA通知Ubuntu安全小组
• 2018年1月3日:该问题在CRD发布前几天公布。
• 2018年1月9日: Ubuntu内核可以更新Ubuntu 16.04 LTS，Ubuntu 17.10，Ubuntu 14.04 LTS (HWE)和Ubuntu 14.04 LTS。
• 2018年1月10日:来自http://cloud-images.ubuntu.com的云图(用于修补熔毁)：
• ：核心图像更新

资料来源：Ubuntu Wiki & 博客帖子

Answer 2

这是否意味着这种错误的修复对于Ubuntu是不可用的？

在Ubuntu repos中，该修复程序还不可用。您可以检查此页以查看状态。该页面由Ubuntu安全小组更新。它涉及两个漏洞，包含指向各种CVEs的链接。

Answer 3

如前所述，截至目前(2018年1月4日)，Ubuntu还没有官方的修补程序，您可以做的是手动更新内核以更新最新版本。请记住，更新内核只会修复熔毁，因为还没有已知的幽灵修复。最新的内核稳定版本是4.14.11，您可以从内核PPA下载编译后的文件：http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.14.11/

如果您的系统是32位，您需要这些文件：

linux-headers-4.14.11-041411_4.14.11-041411.201801022143_all.deb

linux-headers-4.14.11-041411-generic_4.14.11-041411.201801022143_i386.deb

linux-image-4.14.11-041411-generic_4.14.11-041411.201801022143_i386.deb

如果您的系统是64位的，您需要这些文件：

linux-headers-4.14.11-041411_4.14.11-041411.201801022143_all.deb

linux-headers-4.14.11-041411-generic_4.14.11-041411.201801022143_amd64.deb

linux-image-4.14.11-041411-generic_4.14.11-041411.201801022143_amd64.deb

只需下载你的系统的三个，把他们放在一个文件夹，并做sudo dpkg -i *.deb，然后重新启动你的电脑。

另一件您可以考虑的事情(这就是我所做的)，您可以尝试使用滚动发行版。Antergos (https://antergos.com/)很棒，因为它允许您使用几乎任何桌面环境，不需要安装(除了团结)，而且它是基于Arch的。