阿里云
发表主题 回复主题
  • 7004阅读
  • 0回复

[安全漏洞公告专区]【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告

级别: 论坛版主
发帖
240
云币
472
北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全漏洞,该漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据问题。漏洞披露前,阿里已与Intel同步关键安全信息,并持续就修复方案做验证。 }z5u^_-m  
具体详情如下:                          
FT\%=>{  
漏洞编号:   yiMqe^zy  
CVE-2017-5753 395`Wkv  
CVE-2017-5715 CI=M0  
CVE-2017-5754 ATjE8!gO!  
漏洞名称:   q^h/64F  
Intel处理器存在严重芯片级漏洞 t&~*!w!+jH  
官方评级:   }8'b}7!  
高危     fJ&\Z9zY  
漏洞描述: #fb &51  
由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。 3~?m?vj|Y  
根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号为CVE-2017-5754,而Spectre涉及CVE编号为CVE-2017-5715和2017-5753。 tGF3Hw^mS  
具体攻击方式介绍如下: biENRJQ.  
KxDp+]N]  
漏洞影响范围: Hyi'z1  
该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。 sgRWjrc/  
同时AMD、Qualcomm、ARM处理器也受到影响。 1u"#rC>7.4  
漏洞风险: jZ''0Lclpc  
从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。 IyAD>Q^  
漏洞修复建议(或缓解措施): BZ(I]:oDL  
1.云平台修复 {W HK|l   
阿里云已经启动了云平台底层基础架构的漏洞修复更新,会根据批次依次修复,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。 6 [?5hmc"w  
阿里云官方公告:https://help.aliyun.com/noticelist/articleid/20700730.html d.HcO^  
2.租户修复 !j}L-1*{ l  
  • 本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。
跟踪状态如下: =.w~qL  
操作系统    
发行
版本
系统
架构
是否
响                
官方
补丁状态      
镜像修复状态  
镜像源
更新状态            
厂商官方安全公告 补丁更新方式
Microsoft Windows                             2008 R2               i386/X64                      已发布 未修复 已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁;
2.安装完毕后重启服务,检查系统运行情况。
3.您也可以手工下载补丁安装修复漏洞:
Windows Server Version 1709:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
Window Server 2016:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890
Windows Server 2012 R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
Windows Server 2008 R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
4.安装完补丁后重启服务器生效
注意: LqNyi   
1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; L|B! ]}  
2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情 ; S&QXf<v  
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000” `YqXF=-  
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft Windows2012 R2 X64已发布未修复 已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s   q@tym5  
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; %NM={X|'  
2.安装完毕后重启服务器,检查系统运行情况。 @_W13@|  
3.您也可以手工下载补丁安装修复漏洞: /nn~&OU  
Windows Server Version 1709: \>G}DGz  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 tzv4uD]  
Window Server 2016: ZCV i ZWo  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 (.X)=  
Windows Server 2012 R2: kW1w;}n$  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 \j5`6}zm  
Windows Server 2008 R2: @b,6W wc  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 LNyrIk/1  
4.安装完补丁后重启服务器生效 `oH4"9&]k3  
注意:
EB*C;ms  
1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的自动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; -*i_8`  
2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情 ; ZhoV,/\+  
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000” lfre-pS+  
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft Windows2016 R2 X64已发布未修复  已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s   cpALs1j:  
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; \P")Eh =d  
2.安装完毕后重启服务器,检查系统运行情况。 5[4nFa}R:5  
3.您也可以手工下载补丁安装修复漏洞: T\g+w\N  
Windows Server Version 1709: {dm>]@"S  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 6`20  
Window Server 2016: l#%7BGwzY  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 &0tW{-Hv"  
Windows Server 2012 R2: N-_APWA  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 J7^ UQ  
Windows Server 2008 R2: ^m&I^ \  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 t$wbwP  
4.安装完补丁后重启服务器生效。 8?Ju\W  
注意:  mC$y*G  
[font=&amp]在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft WindowsVersion 1709 X64已发布未修复  已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s  1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; 2QM{e!9  
2.安装完毕后重启服务器,检查系统运行情况。 s\pukpf@  
3.您也可以手工下载补丁安装修复漏洞: `:*2TLxIk  
Windows Server Version 1709: "lLh#W1d  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 BAY e:0  
Window Server 2016: {it}\[3  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 2l+L96  
Windows Server 2012 R2: IZ7o6Etti  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 u}|v;:|j  
Windows Server 2008 R2: M\a{2f7'n  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 X%j`rQk`  
4.安装完补丁后重启服务器生效 <kPNe>-f  
注意: EJ#I7_  
[font=&amp]在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Aliyun Linux所有 X64已发布 已修复 已更新 阿里云官方提供公告,未发布
使用root账号权限执行更新命令:
1.15.01 : yum update kernel17.01 : yum update kernel-alinux
2.重启系统
3.检查版本:
15.01 : kernel >= 2.6.32-220.23.3.al.ali1.3.alios6.x86_64
提示:15.01该版本已下线,老用户可以升级,新用户推荐使用17.01。
注意:
在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
CentOS所有 X64已发布 未修复  已更新 Nr~!5XO  
https://access.redhat.com/security/vulnerabilities/speculativeexecution #qY gQ<TM!  
https://access.redhat.com/errata/RHSA-2018:0007https://access.redhat.com/errata/RHSA-2018:0008
使用root账号权限执行更新命令:
1.yum update kernel
2.重启系统
3.检查版本:uname -r
rhel 6 : kernel >= 2.6.32-696.18.7.el6
rhel 7 : kernel >= 3.10.0-693.11.6.el7
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Redhat
RHEL6
RHEL7
X64已发布 已修复  已更新 6?~9{0  
https://access.redhat.com/security/vulnerabilities/speculativeexecution OKlR`Vaty  
https://access.redhat.com/errata/RHSA-2018:0007https://access.redhat.com/errata/RHSA-2018:0008
iD G&Muc  
使用root账号权限执行更新命令: &K[sb%  
1.yum update kernel #Iv KI+"  
2.重启系统 $wp>2  
3.检查版本:uname -r Sx'oa$J  
rhel 6 : kernel >= 2.6.32-696.18.7.el6 yRyXlZC  
rhel 7 : kernel >= 3.10.0-693.11.6.el7 ]tN)HRk1  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Ubuntu所有 X64已发布 未修复 未更新
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5754.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5753.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5715.html
使用root账号权限执行更新命令: i.uyfV&F  
1.更新列表:apt-get update qnboXGaFu  
   升级:apt-get upgrade v:QUwW  
2.重启系统 j8p<HE51  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Debain所有 X64发布CVE-2017-5754补丁部分修复 未更新 =VzJ>!0  
https://security-tracker.debian.org/tracker/CVE-2017-5754 5z,q~CU  
https://security-tracker.debian.org/tracker/CVE-2017-5753 c-(RjQ~M5  
https://security-tracker.debian.org/tracker/CVE-2017-5715
使用root账号权限执行更新命令: 'g)f5n a[  
1.更新列表:apt-get update //BJaWq  
   升级:apt-get upgrade .1RQ}Ro,<  
2.重启系统 oSD=3DQ;  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
SUSE Linux Enterprise Server所有 X64已发布部分修复已更新
https://www.suse.com/security/cve/CVE-2017-5754/
https://www.suse.com/security/cve/CVE-2017-5753/
https://www.suse.com/security/cve/CVE-2017-5715/
jq%<Z,rh  
使用root账号权限执行更新命令: o #\L4P(J  
1.zypper refresh && zypper patch E> GmFw  
2.重启系统 zPp22  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Open SUSE所有 X64已发布未修复  未更新 https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html 暂无
CoreOS所有 X64已发布 未修复  已更新 https://coreos.com/blog/container-linux-meltdown-patch1.升级系统 t2)uJN`a$X  
2.重启系统 iv_3R}IbX  
3.检查版本 >IrQhSF  
stable >= 1576.5.0 k- 9i  
alpha >= 1649.0.0 :JG5)H}j+  
beta >= 1632.1.0 /C Xg$%\  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
gentoo所有 X64是  未发布  未修复  未更新https://archives.gentoo.org/gentoo-user/message/11050085e72a8a05aa84e10a89ce3498 ,.p 36ZLP  
CVE-2017-5753:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5753 yKl^-%Uq<  
CVE-2017-5715:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5715 /)J]ItJlz  
CVE-2017-5754:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5754
暂无
FreeBSD所有 X64未发布  未修复  未更新https://www.freebsd.org/news/newsflash.html#event20180104:01 暂无
r4/b~n+*  
  • 由于当前大多数厂商还未发布补丁,阿里云建议您按照安全最佳实践做好安全加固和防护措施,防止被攻击者利用;
  • 目前发现Linux系统执行修补后可能造成一定程度的性能影响,该漏洞只能通过本地提权操作才能获取敏感信息。为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞,修补前请做好业务验证及必要的数据备份。
!AE;s}v)0{  
9 nc_$H{  
S?JCi =  
情报来源: #Mn?Nn  
N.q~\sF^  
Y+Z+Y)K  
X5/j8=G H`  
]^>Inh!  
WLXt@dK*u  
6 :3Id  
S;#:~?dU  
8Pa*d/5Y(  
eR5q3E/;G  
d^RcJ3w  
rBmW%Gv  
elGBX h  
YT!iI   
j:1N&7<FU  
W)r|9G8T  
;W5.g8  
bS8$[7OhX  
,)xtl`fc  
c{1)- &W  
n^;-&  
!%t@wQ]\hG  
A2\hmp@A@7  
>Um(gbG  
{= &&J@:  
P??P"^hU  
+0[H`5-^  
]Whv%  
8v4krz<Iq  
],!}&#|  
Pl'lmUR  
7CR#\&h`  
{wSz >,  
W7|nc,i0\  
<Ffru?o4j  
[ 此帖被正禾在2018-01-20 13:16重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个