免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。
概述
本文主要介绍Alibaba Cloud Linux 2系统中存在的CPU漏洞、漏洞配置文件、关闭漏洞修复的方法等,您可以根据实际情况选择关闭漏洞修复。
详细信息
阿里云提醒您:
- 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
- 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
- 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
背景信息
2018年1月,Google Project Zero公布现代处理器存在安全漏洞Spectre与Meltdown。攻击者可以使用这些漏洞窃取高特权级的数据,因而对系统安全存在严重威胁。同时这两组漏洞几乎涉及当今大部分主流的处理器(包括Intel、AMD、ARM等多种架构),自公开时,便引起了广泛的讨论。不可避免的,阿里云相关产品也受到该漏洞的影响。随后,包括Linux在内的主流操作系统都对漏洞进行了相应的软件修复。同时,自2018年1月Spectre与Meltdown漏洞被首次公布以来,新变种以及新类型的漏洞不断出现,因此可以预见,在未来相当一段时间内,这些漏洞的存在会成为常态。
漏洞详情
说明:
- 由于这些漏洞利用处理器硬件的投机执行(Speculative Execution)以及乱序执行(Out-of-order Execution)特性,而这些特性对于现代处理器的性能提升具有不可或缺的作用,因而其中的一些修复会带来较大的性能回退。
- 软件方面的修复通常只能缓解,不能根治漏洞问题。
Alibaba Cloud Linux 2系统中现代处理器安全漏洞详情如下。
| CVE | 漏洞配置文件所在路径 | 默认处理方式 | 关闭漏洞修复的方法 |
| Spectre Variant 1(Bounds Check Bypass) | /sys/devices/system/cpu/vulnerabilities/spectre_v1 |
开启漏洞修复 | 强制开启,无法关闭 |
| Spectre Variant 1(swapgs) | /sys/devices/system/cpu/vulnerabilities/spectre_v1 |
开启漏洞修复 |
|
| Spectre Variant 2 | /sys/devices/system/cpu/vulnerabilities/spectre_v2 |
开启漏洞修复 (spectre_v2=auto) |
|
| Spectre Variant 4(Speculative Store Bypass) | /sys/devices/system/cpu/vulnerabilities/spec_store_bypass |
若处理器支持Speculative Store Bypass Disable特性,则开启修复,否则不开启任何修复。(spec_store_bypass_disable=auto) |
|
| Meltdown | /sys/devices/system/cpu/vulnerabilities/meltdown |
开启漏洞修复 (pti=auto) |
|
| L1TF | /sys/devices/system/cpu/vulnerabilities/l1tf |
Guest Kernel中只开启PTE Inversion修复 |
|
| MDS | /sys/devices/system/cpu/vulnerabilities/mds
说明:仅
|
Guest Kernel中只开启CPU buffer clear修复 |
|
说明:
- Alibaba Cloud Linux 2系统中各漏洞的配置文件表示当前实例的CPU是否存在漏洞以及采取的处理措施,示例如下。
Not affected:当前CPU不存在该漏洞。Vulnerable:当前CPU存在该漏洞,没有采取任何缓解措施。Mitigation:当前CPU存在该漏洞,采取了相应缓解措施。- 关于各漏洞的详细介绍,请单击漏洞名查看详细信息。
适用于
- 云服务器ECS