canonical为其所有受支持的Ubuntu Linux操作系统发布了一个新的内核实时补丁,以解决最近由各种研究人员发现的几个关键安全漏洞。
适用于Ubuntu 18.04 LTS(Bionic Beaver),Ubuntu 16.04 LTS(Xenial Xerus)和Ubuntu 14.04 LTS(Trusty Tahr)操作系统系列,新的Linux内核实时补丁现已推出给Canonical Livepatch Service的所有用户。它修补了七个安全漏洞,包括众所周知的L1终端故障(L1TF)/Foreshadow和SpectreRSB漏洞。
此新内核实时补丁中修复的两个L1FT漏洞是CVE-2018-3620和 CVE-2018-3646,但它也解决了一个缺陷,降低了对于半虚拟客户(CVE-2018-15594)的Spectre Variant 2缓解的有效性。 IRDA实施中的免费使用后漏洞(CVE-2018-6555),以及iSCSI目标实施(CVE-2018-14633)中基于堆栈的关键缓冲区溢出。
此外,新的内核livepatch修复了最近发现的名为SpectreRSB(CVE-2018-15572)的cpu侧通道攻击,该攻击通过返回堆栈缓冲区(RSB)影响利用推测执行和返回地址预测的微处理器,允许攻击者暴露敏感信息,以及vmacache子系统(CVE-2018-17182)中的释放后使用漏洞。
敦促所有用户立即更新其安装
如果你没有安装上周的内核安全更新,并且你在64位Ubuntu PC上使用Canonical Livepatch Service,那么现在可以将无重启的内核livepatch更新到版本44.1和44.2。对于Ubuntu 18.04 LTS用户,新内核版本为linux-image 4.15.0-34.37,对于Ubuntu 16.04.5 LTS HWE用户,linux-image为4.15.0-34.37~16.04.1,linux-image为4.4.0-135.161~ 14.04.1 for Ubuntu 14.04.5 LTS HWE用户。
“请注意,由于客户端问题,此livepatch可能会报告无法加载。您可以通过在/sys/kernel/livepatch中查找以名称”lkp_Ubuntu“开头的目录来验证补丁是否已成功加载,然后你的内核版本,以及版本号“44”结束。下一个客户端更新应该纠正这个问题,“阅读安全建议。
试比较Winddows xp和Winddows vista和Linux系统的安全性?
客观的讲,除了ubuntu外,其它的linux发行版和windows几乎没有可比性,linux在服务器领域可能使用的人群比较多,但是,在桌面操作系统所占的比例是微乎其微的,正因为这种系统使用的人群不多,所以在这个平台上的软件不多,现在只有少数的游戏可以支持linux,在大型软件开发商看来,人群是至关重要的,所以大的开发商在开发个人应用软件的时候,首先考虑的都是windows平台,其次才是macintosh和linux平台,当然,linux在服务器领域还是非常值得推崇的,因为这个系统的稳定,强劲,安全等多方面原因,使得目前运行在服务器上的linux系统越来越多,事实上,绝大部份linux都是运行在各种各样的服务器上的。 以前我打过一个比方,linux是B52,而windows是747,这两个系统的领域不一样,是完全没有可比性的。 而如果你用windows server系列来和linux比,那我肯定的说:linux好,至少它不用你那么费心!
怎么在开着Secure Boot的电脑上安装linux
在UEFI上启动Linux首先,需要在UEFI上启动Linux.因为除了Mac,很少有PC使用UEFI替换BIOS,所以大家都不怎么关心从UEFI启动Linux.现在,很多想在Mac上运行Linux的人使用兼容支持模块CSM,提供Mac上BIOS的仿真。 这种方式很麻烦,运行得不好,在Secure Boot Windows 8 PC上可能会更糟糕。 有其他更好的方式。 目前最佳的方式是Rod Smith的EFI-Booting Ubuntu on a Mac指南。 其他的,如Linux内核开发者Greg Kroah-Hartman的技巧也值得一试。 最大的难题还是在于Secure Boot.保护启动与Linux的安全理想情况是微软及其合作伙伴会采用Linux Foundation所说的方式去部署Secure Boot,方便Linux的安装,但这种情况是不会发生的。 所以,我们有三种不同的替换方式。 这时候,也不知道哪一种能成功。 可能最终都会使用上。 这让人很不爽,不过随着微软在该领域继续占优势,Linux开发者就不得不在最艰难的情形下努力做好。 首先,Linux开发者需要处理好该问题。 Linux基金会技术顾问委员会的James Bottomley发布了Intel TianoCore UEFI启动代码和一些Linux程序员能使用的代码,以便消除Windows 8的 Secure Boot限制。 Intel Tianocore是英特尔UEFI的开源镜像。 直到最近,这个镜像也没有微软用于Secure Boot的验证码,现在有这个功能了。 将该功能交付给开发者极大扩展了使用UEFI Secure boot的人群。 这能让无权访问UEFI安全启动硬件的程序员拥有一个“虚拟平台,让他们能体验自己的解决方案。 但这是一个两难的选择,做安全启动的Tianocore固件才出现几周,签名工具还未出现,所以还有很长一段路要走。 即使如此,开发者使用自己的安全配件锁定安全启动虚拟平台,对于利用自己密匙使用UEFI安全的开发者来说,这是一大进步。 一种方式:为某些版本创建UEFI Secure Boot密匙。 这种方法也是Canonical对Ubuntu的做法。 有些人,如自由软件基金会的讨厌这种方法。 Fedora、红帽的社区Linux版本决定使用微软的密匙签名服务Verisign.所以在Fedora的计划中,Fedora将使用微软的系统创建自己的Windows 8系统,兼容UEFI安全启动密匙。 当然在许多开源圈子里,这个方法如浮云。 红帽开发者Matthew Garrett为其辩护,说:”它比现有的任何方案都便宜。 它能与大量硬件兼容,还能让Fedora避免比其他Linux拥有特权。 坦白说,就如Ubuntu缔造者Mark Shuttleworth所讲,任何计划都不可能完美,但“Secure Boot的缺陷在其设计,最终将在每台PC上授权微软的密匙。 Secure Boot对在关键元素上支持多个签名的无能为力意味着这个选项受限,但我们一直在追求一个好的结果。 ”当然还有另一种方法:使用开源的软硬件。 当然这也是Linux PC开源厂商乐于想见的结果。 有了UEFI的Secure Boot,那么Linux版本就不需要与微软签名或者使用它们的安全启动。 使用开源引导模式启动的计算机就好了。 确实,UEFI的Secure Boot在原始设备制造商级别实施,所有新购买的PC都带有Secure Boot.所以开源厂商肯定不愿意禁用或使用Fedora与Ubuntu的方法。 禁用可以,但禁用一些能保护安全的功能很傻。 长此以往让人担忧,运行Linux的2012年后的机器键盘起初很简单,但之后就会愈加复杂。 对于OEM也影响重大。 让人担心桌面Linux对于新用户来说太难了,会逐渐加重Linux的衰落。
当前最好用的电脑操作系统是哪个版本?
普及的操作系统windows系统,如果安全性和开发专业型的就用LINUX.我想你要的应该是WINDOWS的,时下最多的用的是,WINDOWS XP与WINDOWS VASIT,后者是较新,特别对于多核心的处理器,更能发挥效率.不过新东西要打的补丁多多,而且对电脑的硬件要求很高,单内存而言没有1G,不能装,最要命的是它与很多游戏的兼容性不是太好.建议暂时不用有SP2和SP3两个流行版本,前者用的时间长,稳定性很好,后者只是对前者加了大的补丁包,据用的部分人说有时会莫名其妙的死机,不过我的几位朋友用的没事.所以这两者你自己权衡一下,就行了.
发表评论