UCloud-201801-001:Intel芯片级安全漏洞

漏洞详情

芯片级安全漏洞主要由“崩溃 Meltdown”(CVE-2017-5754) 和“幽灵 Spectre”(CVE-2017-5753 和 CVE-2017-5715)组成。利用Meltdown漏洞,低权限用户可以访问内核的内容,获取本地操作系统底层的信息,当用户通过浏览器访问了包含Spectre恶意利用程序的网站时,用户的个人敏感信息可能会被泄漏,在云服务场景中,利用Spectre可以突破用户间的隔离,窃取其他用户的数据。CVE-2017-5754影响Intel x86-64微处理器,AMD x86-64微处理器不受此问题的影响。
 

修复方案

1、UCloud云平台修复情况
1) 云平台修复
北京时间2018年1月9日0点起,UCloud将分批次对云平台进行热升级,以修复此漏洞对于云平台的影响。此次升级将采用基于UCloud热补丁技术的方案,升级过程中不会对您的业务造成中断。在升级完成后,特定的工作负载下可能会导致云主机的性能有所下滑。详情见官方公告
UCloud已于北京时间 2018 年1月15日完成了云平台的 CPU 微码和热补丁升级工作,目前 UCloud 云平台层对相关漏洞的修复已经完成。

2) 线上镜像修复情况

操作系统 是否受影响 修复状况
windows 2008 R2 未更新
windows 2012 R2 未更新
CentOS 更新完成
Ubuntu 更新完成
Debian 未更新

2、存量用户修复方法

注:此次内核更新可能会造成性能下降,请提前做好业务验证、数据备份、快照等工作,防止发生意外,该漏洞只能通过低权限用户本地操作才能获取系统信息,请根据自身业务情况决定是否进行升级.

操作系统 修复方法 备注

windows

1)此次漏洞的微软补丁需手工下载,下载地址如下:
Windows Server 2008 R2 补丁下载地址
Windows Server 2012 R2 补丁下载地址
2)本次微软还发布了其他安全补丁,请通过windows update下载更新。
3)缓解措施见官方指导

这两个更新包与系统和某些反病毒软件存在一定的兼容性问题,请充分了解风险后再决定是否安装:
https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897
https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898

 

Centos 6 UCloud 2.6.32版本内核 】
1)按照官方指导升级Kernel
2) 重启设备:reboot
3) uname -a 查看版本>=2.6.32-696.18.7.1.el6.ucloud

Centos 6&7 官方版本内核
CentOS 7 需要先将 /etc/fstab中“/dev/vda1”行的“errors=remount-ro”修改为“defaults”再执行以下操作,否则将可能出现文件系统readonly:
1) sed -i s/^exclude=kernel/#exclude=kernel/ /etc/yum.conf
2) yum update kernel
3) 重启系统: reboot
4) uname -a 查看版本如下,代表升级成功:
CentOS 6: >=2.6.32-696.18.7.el6
CentOS 7: >=3.10.0-693.11.6.el7

Centos 6&7 UCloud 4.1版本内核
1)修改/etc/yum.conf :
把 exclude=kernel* centos-release* 改成 exclude=centos-release*
2)在/etc/yum.repos.d/新建kernel.repo文件并加入以下内容,其中Centos6.*,$version=6;Centos7.*,$version=7:
[kernel]
name=kernel Repository
baseurl=http://ucloud.mirror.ucloud.cn/centos/$version/$basearch
gpgcheck=0
enabled=1
3)刷新yum源 :
yum clean all && yum makecache
4)查看是否有4.1内核最新版 :
yum list | grep ucloud
结果中存在以下版本:4.1.0-19.el7.ucloud或者4.1.0-19.el6.ucloud
5)安装4.1内核:
yum install -y kernel kernel-devel kernel-headers perf python-perf
6) 重启机器切换新内核
7)uname -a 查看版本
8)修改/etc/yum.conf 改回 exclude=kernel* centos-release*

更新的内核软件包会以潜在性能损失为代价,请根据自身业务情况充分考虑其风险,再决定是否进行升级.

Ubuntu

ubuntu目前已经发布修复补丁包,修复方法如下:
1)执行升级命令
sudo apt-get update
sudo apt-get install linux-image-$version
ubuntu14.04:$version=3.13.0-141
ubuntu16.04:$version=4.4.0-112
2)重启设备:reboot
3)uname -a 查看版本为 以下版本,代表升级成功

ubuntu14.04:> = 3.13.0-141
ubuntu16.04 :>= 4.4.0-112

注:ubuntu 12.02 目前只发布CVE-2017-5754漏洞的修复补丁包,版本为3.2.0-132

官方公告

Debian

Debian目前只发布了CVE-2017-5754漏洞的修复补丁包,修复方法如下:
使用root账号权限执行更新命令:
1)执行升级命令
apt-get update
apt-get upgrade
2)重启系统
3)uname -a 查看版本为 以下版本,代表升级成功
debian 7 :>= 3.2.96-3
debian 8 :>=  3.2.57-3+deb7u1

官方公告如下:
CVE-2017-5754
CVE-2017-5753
CVE-2017-5715

redhat

1)执行命令升级内核:yum update kernel
2)重启系统 reboot
3)检查版本 uname -a为以下版本,代表升级成功:
rhel 6 : kernel >= 2.6.32-696.18.7.el6
rhel 7 : kernel >= 3.10.0-693.11.6.el7

更新的内核软件包会以潜在性能损失为代价,请根据自身业务情况充分考虑其风险,再决定是否进行升级.

SUSE Linux Enterprise Server

1)使用root账号权限执行更新命令:zypper refresh && zypper patch
2)重启系统

 

gentoo 暂未发布 官方公告


 

参考链接

技术详解:https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
微软官方公告:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Intel官方公告:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
幽灵漏洞:https://;//spectreattack.com/
崩溃漏洞:https://meltdownattack.com

更新历史

1)2018.01.04 更新内容:
线上主机修复增加centos修复方法

2)2018.01.07 更新内容:
线上镜像修复进展中centos 进展更改为“更新完成”

3)2018.01.08 更新内容:
“云平台修复”增加修复提醒通知

4)2018.01.15 更新内容:
“云平台修复”增加修复完成通知
增加4.1版本内核修复方法

5)2018.01.23 更新内容:
“存量用户修复方法”增加ubuntu修复方法和版本信息

6)2018.02.06 更新内容:
线上镜像修复进展中ubuntu进展更改为“更新完成”

 

立刻体验,即可享受30余款产品免费套餐

立即体验