北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全漏洞,该漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。
具体详情如下:
漏洞编号:
CVE-2017-5753
CVE-2017-5715
CVE-2017-5754
漏洞名称:
Intel处理器存在严重芯片级漏洞
官方评级:
高危
漏洞描述:
由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。
根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号为CVE-2017-5754,而Spectre涉及CVE编号为CVE-2017-5715和2017-5753。
具体攻击方式介绍如下:
- bounds check bypass (CVE-2017-5753)
- branch target injection (CVE-2017-5715)
- rogue data cache load (CVE-2017-5754)
漏洞影响范围:
该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。
漏洞风险:
从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。
漏洞修复建议(或缓解措施):
- 云平台修复
阿里云已经启动了云平台底层基础架构的漏洞修复更新,会根据批次依次修复,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。
阿里云官方公告-2018.01.04:https://help.aliyun.com/noticelist/articleid/20700730.html
租户修复
1.本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。
跟踪状态如下(2018年1月20日更新,请向右横拉最下方滚动条查看全部内容):
操作系统 发行版本 架构 是否受影响 官方补丁状态 镜像修复状态 镜像源更新状态 厂商官方安全公告 补丁更新方式 Microsoft Windows Server 2008 R2 i386/x64 是 已发布 未修复 已推送补丁 Windows Server系统均已发布补丁,详见微软官方公告。 - 建议您打开Windows Update,然后单击检查更新。根据业务情况下载安装相关安全补丁。
- 补丁安装完成后重启服务器,并检查系统运行情况。
- Windows Server Version 1709:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
- Window Server 2016:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890
- Windows Server 2012 R2:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
- Windows Server 2008 R2:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
注意:1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的自动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响;
2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情;
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000”
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
2012 R2 x64 是 已发布 未修复 已推送补丁 2016 R2 x64 是 已发布 未修复 已推送补丁 Version 1709 x64 是 已发布 未修复 已推送补丁 Aliyun Linux 所有版本 x64 是 已发布 已修复 已更新 阿里云官方发布公告 - 升级内核:15.01 : yum update kernel17.01 : yum update kernel-alinux
- 重启系统;
- 检查版本15.01 : kernel >= 2.6.32-220.23.3.al.ali1.3.alios6.x86_64
提示:15.01该版本已下线,老用户可以升级,新用户推荐使用17.01。
注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
CentOS 所有版本 x64 是 已发布 未修复 已更新 - 使用root账号权限执行更新命令
yum update kernel
; - 重新启动系统;
- 检查版本:
- rhel 6 : kernel >= 2.6.32-696.18.7.el6
- rhel 7 : kernel >= 3.10.0-693.11.6.el7
注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Redhat - el6
- el7
x64 是 已发布 未修复 已更新 Ubuntu 所有版本 i386/x64 是 已发布 未修复 已更新 - https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
- https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
- https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5754.html
- https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5753.html
- https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5715.html
- 使用root账号权限执行更新命令:
更新列表:
apt-get update
升级:
apt-get upgrade
- 重启系统
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
Debain 所有版本 i386/x64 是 发布CVE-2017-5754补丁 未修复 已更新 - 使用root账号权限执行更新命令:
更新列表:
apt-get update
升级:
apt-get upgrade
- 重启系统
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。
SUSE Linux Enterprise Server - SUSE 11 SP4
- SUSE 12 SP2
x64 是 已发布 已修复系统 - SUSE 11 SP4
- SUSE 12 SP2
已更新 - 使用root账号权限执行更新命令
zypper refresh && zypper patch
; - 重新启动系统;
- 检查版本:
suse 11 sp4 : kernel-default >= 3.0.101-108.21.1 microcode_ctl >= 1.17-102.83.6.1
suse 12 sp2 : kernel-default >= 4.4.103-92.56.1 kernel-firmware >= 20170530-21.16.1 ucode-intel >= 20170707-13.8.1
注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
Open SUSE 所有版本 x64 是 已发布 未修复 已更新 https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html - 使用root账号权限执行更新命令
安装 patch :zypper patch —cve=cve-2017-5753 —cve=cve-2017-5754 —cve=cve-2017-5715
; - 重启系统;
- 检查版本:opensuse 42.3 : kernel-default >= 4.4.104-39.1
注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
CoreOS 所有版本 x64 是 已发布 未修复 已更新 https://coreos.com/blog/container-linux-meltdown-patch - 升级系统
- 重新启动系统。
- 检查版本:
stable >= 1576.5.0
alpha >= 1649.0.0
beta >= 1632.1.0
注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。
gentoo 所有版本 x64 是 未发布 未修复 未更新 https://archives.gentoo.org/gentoo-user/message/11050085e72a8a05aa84e10a89ce3498 CVE-2017-5753: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5753
CVE-2017-5715: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5715
CVE-2017-5754: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5754
暂无 FreeBSD 所有版本 x64 是 未发布 未修复 未更新 https://www.freebsd.org/news/newsflash.html#event20180104:01 暂无 注意:云服务器提供的操作系统发行版本详见实例操作系统选择说明。
2.由于当前大多数厂商还未发布补丁,阿里云建议您按照安全最佳实践做好安全加固和防护措施,防止被攻击者利用;
3.目前发现Linux系统执行修补后可能造成一定程度的性能影响。该漏洞只能通过本地提权操作才能获取敏感信息,为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞。修补前请做好业务验证及必要的数据备份。
情报来源:
- Google披露攻击细节:https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html?m=1&from=groupmessage&isappinstalled=0
- US CERT公告: https://www.us-cert.gov/ncas/current-activity/2017/11/21/Intel-Firmware-Vulnerability
- Intel官方公告:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
- 漏洞简要分析:https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
- 完整详细分析:https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html