UCloud-201801-001:Intel芯片级安全漏洞
芯片级安全漏洞主要由“崩溃 Meltdown”(CVE-2017-5754) 和“幽灵 Spectre”(CVE-2017-5753 和 CVE-2017-5715)组成。利用Meltdown漏洞,低权限用户可以访问内核的内容,获取本地操作系统底层的信息,当用户通过浏览器访问了包含Spectre恶意利用程序的网站时,用户的个人敏感信息可能会被泄漏,在云服务场景中,利用Spectre可以突破用户间的隔离,窃取其他用户的数据。CVE-2017-5754影响Intel x86-64微处理器,AMD x86-64微处理器不受此问题的影响。
1、UCloud云平台修复情况
1) 云平台修复
北京时间2018年1月9日0点起,UCloud将分批次对云平台进行热升级,以修复此漏洞对于云平台的影响。此次升级将采用基于UCloud热补丁技术的方案,升级过程中不会对您的业务造成中断。在升级完成后,特定的工作负载下可能会导致云主机的性能有所下滑。详情见官方公告。
UCloud已于北京时间 2018 年1月15日完成了云平台的 CPU 微码和热补丁升级工作,目前 UCloud 云平台层对相关漏洞的修复已经完成。
2) 线上镜像修复情况
操作系统 | 是否受影响 | 修复状况 |
windows 2008 R2 | 是 | 未更新 |
windows 2012 R2 | 是 | 未更新 |
CentOS | 是 | 更新完成 |
Ubuntu | 是 | 更新完成 |
Debian | 是 | 未更新 |
注:此次内核更新可能会造成性能下降,请提前做好业务验证、数据备份、快照等工作,防止发生意外,该漏洞只能通过低权限用户本地操作才能获取系统信息,请根据自身业务情况决定是否进行升级.
操作系统 | 修复方法 | 备注 |
windows |
1)此次漏洞的微软补丁需手工下载,下载地址如下: |
这两个更新包与系统和某些反病毒软件存在一定的兼容性问题,请充分了解风险后再决定是否安装: |
【Centos 6 UCloud 2.6.32版本内核 】
【Centos 6&7 UCloud 4.1版本内核】 |
更新的内核软件包会以潜在性能损失为代价,请根据自身业务情况充分考虑其风险,再决定是否进行升级. |
|
Ubuntu |
ubuntu目前已经发布修复补丁包,修复方法如下:
1)执行升级命令
sudo apt-get update
sudo apt-get install linux-image-$version
ubuntu14.04:$version=3.13.0-141 ubuntu16.04:$version=4.4.0-112
2)重启设备:reboot
3)uname -a 查看版本为 以下版本,代表升级成功
ubuntu14.04:> = 3.13.0-141 |
|
Debian |
Debian目前只发布了CVE-2017-5754漏洞的修复补丁包,修复方法如下:
使用root账号权限执行更新命令:
1)执行升级命令
apt-get update
apt-get upgrade
2)重启系统
3)uname -a 查看版本为 以下版本,代表升级成功
debian 7 :>= 3.2.96-3
debian 8 :>= 3.2.57-3+deb7u1
|
官方公告如下: |
redhat |
1)执行命令升级内核:yum update kernel |
更新的内核软件包会以潜在性能损失为代价,请根据自身业务情况充分考虑其风险,再决定是否进行升级. |
SUSE Linux Enterprise Server |
1)使用root账号权限执行更新命令:zypper refresh && zypper patch |
|
gentoo | 暂未发布 | 官方公告 |
技术详解:https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
微软官方公告:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Intel官方公告:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
幽灵漏洞:https://;//spectreattack.com/
崩溃漏洞:https://meltdownattack.com
1)2018.01.04 更新内容:
线上主机修复增加centos修复方法
2)2018.01.07 更新内容:
线上镜像修复进展中centos 进展更改为“更新完成”
3)2018.01.08 更新内容:
“云平台修复”增加修复提醒通知
4)2018.01.15 更新内容:
“云平台修复”增加修复完成通知
增加4.1版本内核修复方法
5)2018.01.23 更新内容:
“存量用户修复方法”增加ubuntu修复方法和版本信息
6)2018.02.06 更新内容:
线上镜像修复进展中ubuntu进展更改为“更新完成”