Intel芯片级安全漏洞 - UCloud中立云计算服务商

UCloud-201801-001:Intel芯片级安全漏洞

发布时间 2018-01-03
更新时间 2018-02-06
漏洞等级 Critical
CVE编号 CVE-2017-5715、CVE-2017-5753、CVE-2017-5754

漏洞详情

芯片级安全漏洞主要由“崩溃 Meltdown”(CVE-2017-5754) 和“幽灵 Spectre”(CVE-2017-5753 和 CVE-2017-5715)组成。利用Meltdown漏洞，低权限用户可以访问内核的内容，获取本地操作系统底层的信息，当用户通过浏览器访问了包含Spectre恶意利用程序的网站时，用户的个人敏感信息可能会被泄漏，在云服务场景中，利用Spectre可以突破用户间的隔离，窃取其他用户的数据。CVE-2017-5754影响Intel x86-64微处理器，AMD x86-64微处理器不受此问题的影响。

修复方案

1、UCloud云平台修复情况
1）云平台修复
北京时间2018年1月9日0点起，UCloud将分批次对云平台进行热升级，以修复此漏洞对于云平台的影响。此次升级将采用基于UCloud热补丁技术的方案，升级过程中不会对您的业务造成中断。在升级完成后，特定的工作负载下可能会导致云主机的性能有所下滑。详情见官方公告。
UCloud已于北京时间 2018 年1月15日完成了云平台的 CPU 微码和热补丁升级工作，目前 UCloud 云平台层对相关漏洞的修复已经完成。

2）线上镜像修复情况

操作系统	是否受影响	修复状况
windows 2008 R2	是	未更新
windows 2012 R2	是	未更新
CentOS	是	更新完成
Ubuntu	是	更新完成
Debian	是	未更新

2、存量用户修复方法

注：此次内核更新可能会造成性能下降，请提前做好业务验证、数据备份、快照等工作，防止发生意外，该漏洞只能通过低权限用户本地操作才能获取系统信息，请根据自身业务情况决定是否进行升级.

操作系统	修复方法	备注
windows	1）此次漏洞的微软补丁需手工下载，下载地址如下： Windows Server 2008 R2 补丁下载地址 Windows Server 2012 R2 补丁下载地址 2）本次微软还发布了其他安全补丁，请通过windows update下载更新。 3）缓解措施见官方指导	这两个更新包与系统和某些反病毒软件存在一定的兼容性问题，请充分了解风险后再决定是否安装： https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897 https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898
	【Centos 6 UCloud 2.6.32版本内核】 1）按照官方指导升级Kernel 2）重启设备：reboot 3） uname -a 查看版本>=2.6.32-696.18.7.1.el6.ucloud 【Centos 6&7 官方版本内核】 CentOS 7 需要先将 /etc/fstab中“/dev/vda1”行的“errors=remount-ro”修改为“defaults”再执行以下操作，否则将可能出现文件系统readonly: 1） sed -i s/^exclude=kernel/#exclude=kernel/ /etc/yum.conf 2） yum update kernel 3）重启系统： reboot 4） uname -a 查看版本如下，代表升级成功: CentOS 6: >=2.6.32-696.18.7.el6 CentOS 7: >=3.10.0-693.11.6.el7 【Centos 6&7 UCloud 4.1版本内核】 1）修改/etc/yum.conf ：把 exclude=kernel* centos-release* 改成 exclude=centos-release* 2）在/etc/yum.repos.d/新建kernel.repo文件并加入以下内容，其中Centos6.，$version=6；Centos7.，$version=7： [kernel] name=kernel Repository baseurl=http://ucloud.mirror.ucloud.cn/centos/$version/$basearch gpgcheck=0 enabled=1 3）刷新yum源： yum clean all && yum makecache 4）查看是否有4.1内核最新版： yum list \| grep ucloud 结果中存在以下版本：4.1.0-19.el7.ucloud或者4.1.0-19.el6.ucloud 5）安装4.1内核： yum install -y kernel kernel-devel kernel-headers perf python-perf 6）重启机器切换新内核 7）uname -a 查看版本 8）修改/etc/yum.conf 改回 exclude=kernel* centos-release*	更新的内核软件包会以潜在性能损失为代价，请根据自身业务情况充分考虑其风险，再决定是否进行升级.
Ubuntu	ubuntu目前已经发布修复补丁包，修复方法如下： 1）执行升级命令 sudo apt-get update sudo apt-get install linux-image-$version ubuntu14.04：$version=3.13.0-141 ubuntu16.04：$version=4.4.0-112 2）重启设备：reboot 3）uname -a 查看版本为以下版本，代表升级成功 ubuntu14.04:> = 3.13.0-141 ubuntu16.04 :>= 4.4.0-112 注：ubuntu 12.02 目前只发布CVE-2017-5754漏洞的修复补丁包，版本为3.2.0-132	官方公告
Debian	Debian目前只发布了CVE-2017-5754漏洞的修复补丁包，修复方法如下：使用root账号权限执行更新命令： 1）执行升级命令 apt-get update apt-get upgrade 2）重启系统 3）uname -a 查看版本为以下版本，代表升级成功 debian 7 :>= 3.2.96-3 debian 8 :>= 3.2.57-3+deb7u1	官方公告如下： CVE-2017-5754 CVE-2017-5753 CVE-2017-5715
redhat	1）执行命令升级内核：yum update kernel 2）重启系统 reboot 3）检查版本 uname -a为以下版本，代表升级成功： rhel 6 : kernel >= 2.6.32-696.18.7.el6 rhel 7 : kernel >= 3.10.0-693.11.6.el7	更新的内核软件包会以潜在性能损失为代价，请根据自身业务情况充分考虑其风险，再决定是否进行升级.
SUSE Linux Enterprise Server	1）使用root账号权限执行更新命令：zypper refresh && zypper patch 2）重启系统
gentoo	暂未发布	官方公告

参考链接

技术详解：https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
微软官方公告：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Intel官方公告：https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
幽灵漏洞：https://;//spectreattack.com/
崩溃漏洞：https://meltdownattack.com

更新历史

1）2018.01.04 更新内容：
线上主机修复增加centos修复方法

2）2018.01.07 更新内容：
线上镜像修复进展中centos 进展更改为“更新完成”

3）2018.01.08 更新内容：
“云平台修复”增加修复提醒通知

4）2018.01.15 更新内容：
“云平台修复”增加修复完成通知
增加4.1版本内核修复方法

5）2018.01.23 更新内容：
“存量用户修复方法”增加ubuntu修复方法和版本信息

6）2018.02.06 更新内容：
线上镜像修复进展中ubuntu进展更改为“更新完成”

漏洞详情

修复方案

参考链接

更新历史

UCloud与云服务

快速入口

常见问题

用户俱乐部