阿里云
云栖社区2017年度内容特辑
发表主题 回复主题
  • 3304阅读
  • 0回复

[安全漏洞公告专区]【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告

级别: 论坛版主
发帖
216
云币
402
北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全漏洞,该漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据问题。漏洞披露前,阿里已与Intel同步关键安全信息,并持续就修复方案做验证。 m"mU:-jk`  
具体详情如下:                          
Xldz& &@  
漏洞编号:   4 UnN~  
CVE-2017-5753 )[5.*g@  
CVE-2017-5715 f}+8m .g2  
CVE-2017-5754 3Uni{Z]Q)  
漏洞名称:   Q#*Pjl  
Intel处理器存在严重芯片级漏洞 $Z4IPs  
官方评级:   !!UQ,yU  
高危     VHTr;(]hk  
漏洞描述: !7aJfs2  
由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。 [Xo}CU  
根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号为CVE-2017-5754,而Spectre涉及CVE编号为CVE-2017-5715和2017-5753。 bGa "r  
具体攻击方式介绍如下: V tJyE}  
D^\2a;[AxA  
漏洞影响范围: iU a `<  
该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。 kK$*,]iCp  
同时AMD、Qualcomm、ARM处理器也受到影响。 hS +R /7  
漏洞风险: xsSX~`  
从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。 ^ l9NF  
漏洞修复建议(或缓解措施): =CjN=FM  
1.云平台修复 z+%74O"c  
阿里云已经启动了云平台底层基础架构的漏洞修复更新,会根据批次依次修复,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。 DU1\K  
阿里云官方公告:https://help.aliyun.com/noticelist/articleid/20700730.html f3HleA&&  
2.租户修复 xl;0&/7e  
  • 本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。
跟踪状态如下: @m Id{w z  
操作系统    
发行
版本
系统
架构
是否
响                
官方
补丁状态      
镜像修复状态  
镜像源
更新状态            
厂商官方安全公告 补丁更新方式
Microsoft Windows                             2008 R2               i386/X64                      已发布 未修复 已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁;
2.安装完毕后重启服务,检查系统运行情况。
3.您也可以手工下载补丁安装修复漏洞:
Windows Server Version 1709:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
Window Server 2016:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890
Windows Server 2012 R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
Windows Server 2008 R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
4.安装完补丁后重启服务器生效
注意: L% ?3VW  
1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; 6b9 &V`  
2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情 ; x$Tf IFy  
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000” 5 ]v]^Y'?  
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft Windows2012 R2 X64已发布未修复 已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s   ;f)o_:(JJ  
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; JW-!m8  
2.安装完毕后重启服务器,检查系统运行情况。 j: /cJt  
3.您也可以手工下载补丁安装修复漏洞:  _F9O4Q4  
Windows Server Version 1709: ,3E9H&@j  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 Ar VNynQ  
Window Server 2016: "ZLujpZcG  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 Z-B b,8  
Windows Server 2012 R2: K?:wX(JYT  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 b&1-tYV  
Windows Server 2008 R2: xRU ~h Q  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 yL>wCD,L  
4.安装完补丁后重启服务器生效 `[zd  
注意:
C #A\Rfi  
1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的自动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; @*rED6zH  
2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情 ; I{0bs Tp;  
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000” %"> Oy&3  
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft Windows2016 R2 X64已发布未修复  已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s   mv+K!T6  
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; $ZOKB9QccC  
2.安装完毕后重启服务器,检查系统运行情况。 oz- k_9%  
3.您也可以手工下载补丁安装修复漏洞: bhb*,iWA  
Windows Server Version 1709: w(xRL#%  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 P.;S6i n  
Window Server 2016: G]- wN7G  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 f YuM`O  
Windows Server 2012 R2: J|BZ{T}d  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 /-W-MP=Wd  
Windows Server 2008 R2: KZxA\,Y'5  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 VI (;8  
4.安装完补丁后重启服务器生效。 V ^U1o[`  
注意: AIXvS*Y,  
[font=&amp]在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft WindowsVersion 1709 X64已发布未修复  已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s  1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; pM i w9}  
2.安装完毕后重启服务器,检查系统运行情况。 l< y9ue=  
3.您也可以手工下载补丁安装修复漏洞: ) -C9W7?I  
Windows Server Version 1709: MK<VjpP0(  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 l?/.uNw  
Window Server 2016: joN}N}U  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 z]YP  
Windows Server 2012 R2: 5w#*JK   
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 s\`Vr;R:|  
Windows Server 2008 R2: ,ZYj8^gF  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 WLAJqmC]  
4.安装完补丁后重启服务器生效 W].P(A>m  
注意: UEq;}4Bo  
[font=&amp]在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Aliyun Linux所有 X64已发布 已修复 已更新 阿里云官方提供公告,未发布
使用root账号权限执行更新命令:
1.15.01 : yum update kernel17.01 : yum update kernel-alinux
2.重启系统
3.检查版本:
15.01 : kernel >= 2.6.32-220.23.3.al.ali1.3.alios6.x86_64
提示:15.01该版本已下线,老用户可以升级,新用户推荐使用17.01。
注意:
在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
CentOS所有 X64已发布 未修复  已更新 !k&~|_$0@  
https://access.redhat.com/security/vulnerabilities/speculativeexecution ,qRSB>5c  
https://access.redhat.com/errata/RHSA-2018:0007https://access.redhat.com/errata/RHSA-2018:0008
使用root账号权限执行更新命令:
1.yum update kernel
2.重启系统
3.检查版本:uname -r
rhel 6 : kernel >= 2.6.32-696.18.7.el6
rhel 7 : kernel >= 3.10.0-693.11.6.el7
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Redhat
RHEL6
RHEL7
X64已发布 已修复  已更新 Zw5\{Z0  
https://access.redhat.com/security/vulnerabilities/speculativeexecution ~EU[?  
https://access.redhat.com/errata/RHSA-2018:0007https://access.redhat.com/errata/RHSA-2018:0008
)Q\ZYCPOr  
使用root账号权限执行更新命令: v}IP%84  
1.yum update kernel +fhyw{  
2.重启系统 v`hv5wQ  
3.检查版本:uname -r oPNYCE  
rhel 6 : kernel >= 2.6.32-696.18.7.el6 DJE/u qE  
rhel 7 : kernel >= 3.10.0-693.11.6.el7 (oxe\Qk  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Ubuntu所有 X64已发布 未修复 未更新
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5754.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5753.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5715.html
使用root账号权限执行更新命令: ~zz|U!TG  
1.更新列表:apt-get update =3=KoH/'  
   升级:apt-get upgrade 5Ag>,>kJ6  
2.重启系统 1V`]sfRK  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Debain所有 X64发布CVE-2017-5754补丁部分修复 未更新 c 3@SgfKmk  
https://security-tracker.debian.org/tracker/CVE-2017-5754 JMOP/]%D  
https://security-tracker.debian.org/tracker/CVE-2017-5753 E|9LUPcb  
https://security-tracker.debian.org/tracker/CVE-2017-5715
使用root账号权限执行更新命令: g]xZ^M+  
1.更新列表:apt-get update Za!c=(5  
   升级:apt-get upgrade 0iX qAa  
2.重启系统 <nsl`C~6g0  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
SUSE Linux Enterprise Server所有 X64已发布部分修复已更新
https://www.suse.com/security/cve/CVE-2017-5754/
https://www.suse.com/security/cve/CVE-2017-5753/
https://www.suse.com/security/cve/CVE-2017-5715/
8{+~3@T  
使用root账号权限执行更新命令: >`NY[Mn  
1.zypper refresh && zypper patch =zA=D.D2  
2.重启系统 ):78GVp  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Open SUSE所有 X64已发布未修复  未更新 https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html 暂无
CoreOS所有 X64已发布 未修复  已更新 https://coreos.com/blog/container-linux-meltdown-patch1.升级系统 dr6 dK  
2.重启系统 8VcAtrx_  
3.检查版本 r-YQsu&  
stable >= 1576.5.0 K=5_jE^e  
alpha >= 1649.0.0 W,{`)NWg  
beta >= 1632.1.0 MF\n@lX  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
gentoo所有 X64是  未发布  未修复  未更新https://archives.gentoo.org/gentoo-user/message/11050085e72a8a05aa84e10a89ce3498 \wRr6-!_  
CVE-2017-5753:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5753 GvzPT2E!  
CVE-2017-5715:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5715 J|FyY)_  
CVE-2017-5754:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5754
暂无
FreeBSD所有 X64未发布  未修复  未更新https://www.freebsd.org/news/newsflash.html#event20180104:01 暂无
Rg[e~##  
  • 由于当前大多数厂商还未发布补丁,阿里云建议您按照安全最佳实践做好安全加固和防护措施,防止被攻击者利用;
  • 目前发现Linux系统执行修补后可能造成一定程度的性能影响,该漏洞只能通过本地提权操作才能获取敏感信息。为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞,修补前请做好业务验证及必要的数据备份。
l!AZ$IV  
nnGA_7-t  
Y(SI`Xo[  
情报来源: 4\OELU  
}ZmdX^xB  
$m=z87hX  
C]=E$^ |{  
n&C9f9S  
8&UuwZ6i-  
=!CuCV7$1O  
CXQ ?P  
AX,Db%`l,  
twu6z5<!-=  
kTk?[BK  
1 I+5  
$Tur"_`I;  
#] GM#.  
(;j7 {(  
PjP%,-@1  
u9gr@06  
y^A $bTQq  
sR 9F:  
~JNuy"8  
`/AzX *`  
piG1&*  
\fz j fZ1n  
J9 =gv0  
JgB# EoF  
l =yHx\  
Fq9[:  
A%PPG+IfA  
bevT`D  
<C$<(Dw5  
%8L<KJd  
i4I0oRp  
eC$v0Gtq  
~{+{pcO}  
ja;5:=8A5  
[ 此帖被正禾在2018-01-20 13:16重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个