阿里云
发表主题 回复主题
  • 5149阅读
  • 0回复

[安全漏洞公告专区]【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告

级别: 论坛版主
发帖
233
云币
457
北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全漏洞,该漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据问题。漏洞披露前,阿里已与Intel同步关键安全信息,并持续就修复方案做验证。 cx_FtD  
具体详情如下:                          
{1li3K&0s  
漏洞编号:   6]^ShOX_Z  
CVE-2017-5753 cW4:eh  
CVE-2017-5715 n"N!76  
CVE-2017-5754 tPIT+1.]z  
漏洞名称:   m{9m.~d  
Intel处理器存在严重芯片级漏洞 6QkdH7Qf=  
官方评级:   @(Wx(3JR?}  
高危     Rx<m+=  
漏洞描述: cq>{  
由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。 jq yqOhb4  
根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号为CVE-2017-5754,而Spectre涉及CVE编号为CVE-2017-5715和2017-5753。 mjO4GpG3  
具体攻击方式介绍如下: N`1:U 4}  
dnTB$8&  
漏洞影响范围: bq/ m?;  
该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。 /.9j$iK#  
同时AMD、Qualcomm、ARM处理器也受到影响。 :CH "cbo  
漏洞风险: .0kltnB  
从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。 ? acm5dN  
漏洞修复建议(或缓解措施): HhDiGzOSi  
1.云平台修复 Ox7v*[x'  
阿里云已经启动了云平台底层基础架构的漏洞修复更新,会根据批次依次修复,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。 WF,<7mx=-  
阿里云官方公告:https://help.aliyun.com/noticelist/articleid/20700730.html VC5LxA0{  
2.租户修复 +dq&9N/  
  • 本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。
跟踪状态如下: CE]0OY  
操作系统    
发行
版本
系统
架构
是否
响                
官方
补丁状态      
镜像修复状态  
镜像源
更新状态            
厂商官方安全公告 补丁更新方式
Microsoft Windows                             2008 R2               i386/X64                      已发布 未修复 已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁;
2.安装完毕后重启服务,检查系统运行情况。
3.您也可以手工下载补丁安装修复漏洞:
Windows Server Version 1709:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
Window Server 2016:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890
Windows Server 2012 R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
Windows Server 2008 R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
4.安装完补丁后重启服务器生效
注意: p \A^kX^5  
1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; pp@Jndlg  
2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情 ; [* ,k  
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000” T4dLuJl  
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft Windows2012 R2 X64已发布未修复 已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s   /yPFts_q  
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; <aR9,:  
2.安装完毕后重启服务器,检查系统运行情况。 l5_RG,O0A  
3.您也可以手工下载补丁安装修复漏洞: Tj7OV}:  
Windows Server Version 1709: S L<P`H|  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 S+Z_Qf  
Window Server 2016: >a7OE=K  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 (7^5jo[D  
Windows Server 2012 R2: (oTtnQ""+  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 d2`m0U  
Windows Server 2008 R2: t0h @i`  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 WP[h@#7<  
4.安装完补丁后重启服务器生效 2k;>nlVxX  
注意:
&?UIe]  
1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的自动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; .l5y+a'  
2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情 ; rDFD rviW_  
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000” p vone,y2  
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft Windows2016 R2 X64已发布未修复  已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s   {:BAh 5e|  
1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; cdiDfiE  
2.安装完毕后重启服务器,检查系统运行情况。 "#1KO1@G  
3.您也可以手工下载补丁安装修复漏洞: c-3-,pyM_T  
Windows Server Version 1709: ~R^~?Y%+<  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 *W,tq(%tQ  
Window Server 2016: L A &W@  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 L c4\i  
Windows Server 2012 R2: M"# >?6{  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 1AMxZ (e  
Windows Server 2008 R2: l2H-E&'=  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 uc;1{[5`1q  
4.安装完补丁后重启服务器生效。 gS{hfDpk,h  
注意: %+Hhe]J ld  
[font=&amp]在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Microsoft WindowsVersion 1709 X64已发布未修复  已推送补丁https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s  1.建议用户打开Windows Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁; !SRElb A;i  
2.安装完毕后重启服务器,检查系统运行情况。 ?^I\e{),c  
3.您也可以手工下载补丁安装修复漏洞: r9nH6 Md\  
Windows Server Version 1709: _+Tq&,_:o  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 n7-|\p!xP6  
Window Server 2016: s zBlyT  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 ffyDi1Q  
Windows Server 2012 R2: 3h t>eaHi  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 OXu*w l(z  
Windows Server 2008 R2: FvpaU\D  
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 1 EE4N\  
4.安装完补丁后重启服务器生效 }nh!dVA8lh  
注意:  uP|Py.+  
[font=&amp]在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Aliyun Linux所有 X64已发布 已修复 已更新 阿里云官方提供公告,未发布
使用root账号权限执行更新命令:
1.15.01 : yum update kernel17.01 : yum update kernel-alinux
2.重启系统
3.检查版本:
15.01 : kernel >= 2.6.32-220.23.3.al.ali1.3.alios6.x86_64
提示:15.01该版本已下线,老用户可以升级,新用户推荐使用17.01。
注意:
在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
CentOS所有 X64已发布 未修复  已更新 PP/EZ^]b  
https://access.redhat.com/security/vulnerabilities/speculativeexecution +9mE1$C  
https://access.redhat.com/errata/RHSA-2018:0007https://access.redhat.com/errata/RHSA-2018:0008
使用root账号权限执行更新命令:
1.yum update kernel
2.重启系统
3.检查版本:uname -r
rhel 6 : kernel >= 2.6.32-696.18.7.el6
rhel 7 : kernel >= 3.10.0-693.11.6.el7
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Redhat
RHEL6
RHEL7
X64已发布 已修复  已更新 ;k1 \-  
https://access.redhat.com/security/vulnerabilities/speculativeexecution iA*^`NMaT  
https://access.redhat.com/errata/RHSA-2018:0007https://access.redhat.com/errata/RHSA-2018:0008
EJC{!06L'/  
使用root账号权限执行更新命令: )@lZ~01~d  
1.yum update kernel 2XoFmV),F  
2.重启系统 +c4-7/kE  
3.检查版本:uname -r <zd_-Ysn  
rhel 6 : kernel >= 2.6.32-696.18.7.el6 2 I:x)  
rhel 7 : kernel >= 3.10.0-693.11.6.el7 Tx+!D'>  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Ubuntu所有 X64已发布 未修复 未更新
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5754.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5753.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5715.html
使用root账号权限执行更新命令: ":=\ ci]e%  
1.更新列表:apt-get update z}Y23W&sX  
   升级:apt-get upgrade 9Q\CJ9  
2.重启系统 /~sNx  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Debain所有 X64发布CVE-2017-5754补丁部分修复 未更新 NMaZ+g!t(  
https://security-tracker.debian.org/tracker/CVE-2017-5754 )9F o  
https://security-tracker.debian.org/tracker/CVE-2017-5753 $H\[yg>4  
https://security-tracker.debian.org/tracker/CVE-2017-5715
使用root账号权限执行更新命令: O5rHN;\_  
1.更新列表:apt-get update }~B@Z\`O  
   升级:apt-get upgrade 8+}yf.`  
2.重启系统 8&[Lr o9  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
SUSE Linux Enterprise Server所有 X64已发布部分修复已更新
https://www.suse.com/security/cve/CVE-2017-5754/
https://www.suse.com/security/cve/CVE-2017-5753/
https://www.suse.com/security/cve/CVE-2017-5715/
"&$ [@c  
使用root账号权限执行更新命令: +Cs[]~  
1.zypper refresh && zypper patch +M )ep\j  
2.重启系统 #eRrVjbo  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Open SUSE所有 X64已发布未修复  未更新 https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html 暂无
CoreOS所有 X64已发布 未修复  已更新 https://coreos.com/blog/container-linux-meltdown-patch1.升级系统 6yn34'yw  
2.重启系统 T"h@-UcTl  
3.检查版本 #6g9@tE  
stable >= 1576.5.0 qg7qTF&   
alpha >= 1649.0.0 ^Om0~)"q  
beta >= 1632.1.0 rE->z  
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
gentoo所有 X64是  未发布  未修复  未更新https://archives.gentoo.org/gentoo-user/message/11050085e72a8a05aa84e10a89ce3498 JAt$WW{  
CVE-2017-5753:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5753 8x)&4o@  
CVE-2017-5715:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5715 h?Y->!'  
CVE-2017-5754:https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5754
暂无
FreeBSD所有 X64未发布  未修复  未更新https://www.freebsd.org/news/newsflash.html#event20180104:01 暂无
RSv?imi=  
  • 由于当前大多数厂商还未发布补丁,阿里云建议您按照安全最佳实践做好安全加固和防护措施,防止被攻击者利用;
  • 目前发现Linux系统执行修补后可能造成一定程度的性能影响,该漏洞只能通过本地提权操作才能获取敏感信息。为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞,修补前请做好业务验证及必要的数据备份。
I, 7~D!4G  
seQSDCsvw*  
1w` ]2  
情报来源: #|92 +  
JD\yl[ac%  
MWGs:tpL4  
;+ -@AYl  
`EBI$;!  
yT$CImP73  
]VKM3[   
=D>,s)}o3;  
Gt4/ax:A@  
`s )- lI  
Etj0k} A  
h+\+9^l6|  
sn!E$ls3O  
TTDcVG_}  
v[7iWBqJ  
L'Yg$9Vz  
@V\ u<n  
LL0Y$pHV  
mRurGaR  
=00c1v  
_YK66cS3E/  
4ZUTF3  
U}yq*$N  
~cf*Oq  
L2sUh+'|  
"^froQ{"T  
VxP cC+  
5wE+p<-KX  
O|} p=ny  
< NRnE8:  
]Pp}=hcD  
Nc da~h Q  
bo-AM]  
)K}-z+$)k  
A3 uF 0A  
[ 此帖被正禾在2018-01-20 13:16重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个