阿里云
发表主题 回复主题
  • 5387阅读
  • 0回复

[安全漏洞公告专区]【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告

级别: 论坛版主
发帖
234
云币
459
北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全漏洞,该漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据问题。漏洞披露前,阿里已与Intel同步关键安全信息,并持续就修复方案做验证。 =k_XKxd  
具体详情如下:                          
y`T--v3mI  
漏洞编号:   X~`.}  
CVE-2017-5753 =ulr_i%Xs  
CVE-2017-5715 D;K&  
CVE-2017-5754 QGu7D #%|  
漏洞名称:   {: Am9B  
Intel处理器存在严重芯片级漏洞 P<TpG0~(  
官方评级:   {A !;W  
高危     ^/ULh,w!fP  
漏洞描述: \fkS_r,i  
由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。 \a9D[wk;@  
根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号为CVE-2017-5754,而Spectre涉及CVE编号为CVE-2017-5715和2017-5753。 !- Cs?  
具体攻击方式介绍如下: 5&G Q=m  
2D\x-!l/  
漏洞影响范围: m? ]zomP  
该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。 d;*OO xQV  
同时AMD、Qualcomm、ARM处理器也受到影响。 q!u lE{ ^  
漏洞风险: ?[a7l:3-[  
从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。 tU-#pB>H  
漏洞修复建议(或缓解措施): L<{OBuR  
1.云平台修复 [esX{6,i  
阿里云已经启动了云平台底层基础架构的漏洞修复更新,会根据批次依次修复,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。 >llwNT  
阿里云官方公告:https://help.aliyun.com/noticelist/articleid/20700730.html 6&/ Ew4 e  
2.租户修复 y^0HCp{  
  • 本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。
跟踪状态如下: <s59OdzP  
操作系统    
发行
版本
系统
架构
是否
响                
官方
补丁状态      
镜像修复状态  
镜像源
更新状态            
厂商官方安全公告 补丁更新方式
Microsoft Windows                             2008 R2               i386/X64                      已发布 未修复 已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁;
2.安装完毕后重启服务,检查系统运行情况。
3.您也可以手工下载补丁安装修复漏洞:
Windows Server Version 1709:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
Window Server 2016:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890
Windows Server 2012 R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
Windows Server 2008 R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
4.安装完补丁后重启服务器生效
注意: kHz+ ZY<?  
1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; 9!Q $GE?vl  
2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情 ; !=k*hl0h  
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000” 6_ 33*/>=c  
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft Windows2012 R2 X64已发布未修复 已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s   \]~kyy  
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; 7>c 0V&  
2.安装完毕后重启服务器,检查系统运行情况。 CBz(hCaI  
3.您也可以手工下载补丁安装修复漏洞: CIxVR  
Windows Server Version 1709: &)fhlp5  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 2s]]!{Z#  
Window Server 2016:  ?fqkM  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 Hz;jJ&S  
Windows Server 2012 R2: ,/[dmoe  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 o q'J*6r  
Windows Server 2008 R2: NXV~[  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 C4X{Ps \  
4.安装完补丁后重启服务器生效 jmA{rD W  
注意:
1Q2k>q8  
1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的自动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; S9F]!m^i  
2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情 ; @poMK:  
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000” nw]e_sm  
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft Windows2016 R2 X64已发布未修复  已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s   6LF^[b/u  
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; aLyhxmn ^)  
2.安装完毕后重启服务器,检查系统运行情况。 ;?Y` e  
3.您也可以手工下载补丁安装修复漏洞: STF}~`b:3  
Windows Server Version 1709: T/spUlWu  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 yg]nS<K~4  
Window Server 2016: b`={s  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 C\hZ;Z1  
Windows Server 2012 R2:   xhVq  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 f4\p1MYQ  
Windows Server 2008 R2: 4d3]pvv  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 oJz:uv8Pe.  
4.安装完补丁后重启服务器生效。 xZ{|D  
注意: :R_#'i  
[font=&amp]在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft WindowsVersion 1709 X64已发布未修复  已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s  1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; ,h)T(  
2.安装完毕后重启服务器,检查系统运行情况。 jP7+s.j>  
3.您也可以手工下载补丁安装修复漏洞: D*2p  
Windows Server Version 1709: ; 0_J7  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 Lq8Z!AIw>  
Window Server 2016: V2sB[Mw  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 BNKo6:wy  
Windows Server 2012 R2: AB|VO4-?  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 R.WsC bU  
Windows Server 2008 R2: c%,6L<[  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 }W>[OY0^A  
4.安装完补丁后重启服务器生效 jX8C2}j  
注意: < $?}^ 0R  
[font=&amp]在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Aliyun Linux所有 X64已发布 已修复 已更新 阿里云官方提供公告,未发布
使用root账号权限执行更新命令:
1.15.01 : yum update kernel17.01 : yum update kernel-alinux
2.重启系统
3.检查版本:
15.01 : kernel >= 2.6.32-220.23.3.al.ali1.3.alios6.x86_64
提示:15.01该版本已下线,老用户可以升级,新用户推荐使用17.01。
注意:
在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
CentOS所有 X64已发布 未修复  已更新 ~[/c'3+4qn  
https://access.redhat.com/security/vulnerabilities/speculativeexecution z%gtV'  
https://access.redhat.com/errata/RHSA-2018:0007https://access.redhat.com/errata/RHSA-2018:0008
使用root账号权限执行更新命令:
1.yum update kernel
2.重启系统
3.检查版本:uname -r
rhel 6 : kernel >= 2.6.32-696.18.7.el6
rhel 7 : kernel >= 3.10.0-693.11.6.el7
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Redhat
RHEL6
RHEL7
X64已发布 已修复  已更新 EvardUB)  
https://access.redhat.com/security/vulnerabilities/speculativeexecution Appz1q  
https://access.redhat.com/errata/RHSA-2018:0007https://access.redhat.com/errata/RHSA-2018:0008
H2R^t{ w  
使用root账号权限执行更新命令: M[3w EX^  
1.yum update kernel :g:h 0'G  
2.重启系统 3Os3=Ix  
3.检查版本:uname -r 5 Yibv6:3a  
rhel 6 : kernel >= 2.6.32-696.18.7.el6 1^"aR#  
rhel 7 : kernel >= 3.10.0-693.11.6.el7 ;7=J U^@D@  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Ubuntu所有 X64已发布 未修复 未更新
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5754.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5753.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5715.html
使用root账号权限执行更新命令: v+_Y72h*a  
1.更新列表:apt-get update 2bG4 ,M  
   升级:apt-get upgrade I)/7M}t`  
2.重启系统 sTstc+w  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Debain所有 X64发布CVE-2017-5754补丁部分修复 未更新 7Mg7B  
https://security-tracker.debian.org/tracker/CVE-2017-5754 fy-Z{  
https://security-tracker.debian.org/tracker/CVE-2017-5753 &)}:Y!qiu  
https://security-tracker.debian.org/tracker/CVE-2017-5715
使用root账号权限执行更新命令: z ex.0OT;  
1.更新列表:apt-get update cb&In<q  
   升级:apt-get upgrade )0V]G{QN  
2.重启系统 F,2#;t4  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
SUSE Linux Enterprise Server所有 X64已发布部分修复已更新
https://www.suse.com/security/cve/CVE-2017-5754/
https://www.suse.com/security/cve/CVE-2017-5753/
https://www.suse.com/security/cve/CVE-2017-5715/
?D 9#dGK  
使用root账号权限执行更新命令: YhK/pt43C  
1.zypper refresh && zypper patch 6e-h;ylS  
2.重启系统 }Fe{s;  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Open SUSE所有 X64已发布未修复  未更新 https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html 暂无
CoreOS所有 X64已发布 未修复  已更新 https://coreos.com/blog/container-linux-meltdown-patch1.升级系统 SJ_cwYwI$  
2.重启系统 gJ~*rWBK:  
3.检查版本 W$&Ets8zo  
stable >= 1576.5.0 uB"m!dL  
alpha >= 1649.0.0 !td.ks0  
beta >= 1632.1.0 _q}%!#4  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
gentoo所有 X64是  未发布  未修复  未更新https://archives.gentoo.org/gentoo-user/message/11050085e72a8a05aa84e10a89ce3498 y:zT1I@>  
CVE-2017-5753:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5753 M\4;d #  
CVE-2017-5715:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5715 j?)`VLZ  
CVE-2017-5754:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5754
暂无
FreeBSD所有 X64未发布  未修复  未更新https://www.freebsd.org/news/newsflash.html#event20180104:01 暂无
CPE F,,\  
  • 由于当前大多数厂商还未发布补丁,阿里云建议您按照安全最佳实践做好安全加固和防护措施,防止被攻击者利用;
  • 目前发现Linux系统执行修补后可能造成一定程度的性能影响,该漏洞只能通过本地提权操作才能获取敏感信息。为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞,修补前请做好业务验证及必要的数据备份。
=C2C~Xd  
yj9gN}+  
/s_$CSiB  
情报来源: Zpd>' ${4  
\uIC<#o"N  
1OeDWEcB  
")buDU6_  
xF31%b`z:  
Vs(Zs[  
?q&mI*j!  
5-po>1g'  
a{.n(M  
_( Cp   
bx6}zkf&  
@C)h;TR  
|?W   
bcs(#  
!+l, m8Hly  
|{"7/~*[  
Tr!X2#)A!  
4(ZV\}j1  
l!'iLq"K(  
8r,%!70  
cv1L!Ce,  
[AwE  
\OH:xW~  
(k45k/PAP  
C"WZsF^3  
Yw `VL)v(y  
@]4s&;  
u9(AT>HxT  
I78pul8!  
AG2jl/  
qo|iw+0Y  
%9M49 s  
;zODp+4@Q  
voEc'JET  
v2R:=d ')>  
[ 此帖被正禾在2018-01-20 13:16重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个