北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全漏洞,该漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。
具体详情如下:
漏洞编号
CVE-2017-5753
CVE-2017-5715
CVE-2017-5754
漏洞名称
Intel处理器存在严重芯片级漏洞
危险等级
高危
漏洞描述
由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。
根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号为CVE-2017-5754,而Spectre涉及CVE编号为CVE-2017-5715和2017-5753。
具体攻击方式介绍如下:
漏洞影响范围
该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。同时,AMD、Qualcomm、ARM处理器也受到影响。
漏洞风险
从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。
漏洞修复建议
云平台修复
阿里云已经启动了云平台底层基础架构的漏洞修复更新,会根据批次依次修复,最迟于北京时间2018年01月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。
阿里云官方公告-2018年01月04日:https://www.alibabacloud.com/notice/platform_01_03
租户修复
1.本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。
受影响的操作系统跟踪状态如下(2018年01月20日更新,请向右横拉最下方滚动条查看全部内容):
操作系统 | 发行版本(架构) | 官方补丁状态 | 镜像修复状态 | 镜像源更新状态 | 厂商官方安全公告 | 补更新方式 |
|---|---|---|---|---|---|---|
Microsoft Windows Server | 2008 R2(i386/x64) | 已发布 | 未修复 | 已推送补丁 | Windows Server系统均已发布补丁,详见微软官方公告。 | 补丁安装完成后重启服务器,检查系统运行情况。您也可以手动下载补丁安装修复漏洞:
补丁安装完成后,重启服务器生效。注意:1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的自动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016,Windows Server 1709不受此策略影响;2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情;Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000”3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。 |
2012 R2(x64) | 已发布 | 未修复 | 已推送补丁 | |||
2016 R2(x64) | 已发布 | 未修复 | 已推送补丁 | |||
Version 1709(x64) | 已发布 | 未修复 | 已推送补丁 | |||
Aliyun Linux | 所有版本(x64) | 已发布 | 已修复 | 已更新 | 阿里云官方发布公告 | |
CentOS | 所有版本(x64) | 已发布 | 未修复 | 已更新 |
| |
Redhat |
| 已发布 | 未修复 | 已更新 | ||
Ubuntu | 所有版本(i386/x64) | 已发布 | 未修复 | 已更新 |
| |
Debain | 所有版本(i386/x64) | 发布CVE-2017-5754补丁 | 未修复 | 已更新 |
| |
SUSE Linux Enterprise Server |
| 已发布 | 已修复系统
| 已更新 |
| |
Open SUSE | 所有版本(x64) | 已发布 | 未修复 | 已更新 | https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html | |
CoreOS | 所有版本(x64) | 已发布 | 未修复 | 已更新 | https://coreos.com/blog/container-linux-meltdown-patch | |
gentoo | 所有版本(x64) | 未发布 | 未修复 | 未更新 | https://archives.gentoo.org/gentoo-user/message/11050085e72a8a05aa84e10a89ce3498 CVE-2017-5753: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5753 CVE-2017-5715: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5715 CVE-2017-5754: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5754 | |
FreeBSD | 所有版本(x64) | 未发布 | 未修复 | 未更新 | https://www.freebsd.org/news/newsflash.html#event20180104:01 |
云服务器提供的操作系统发行版本,请参见ECS实例操作系统选择说明。
2.由于当前大多数厂商还未发布补丁,阿里云建议您按照安全最佳实践做好安全加固和防护措施,防止被攻击者利用。
3.目前发现Linux系统执行修补后可能造成一定程度的性能影响。该漏洞只能通过本地提权操作才能获取敏感信息,为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞。修补前请做好业务验证及必要的数据备份。
情报来源
Google披露攻击细节:https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html?m=1&from=groupmessage&isappinstalled=0
US CERT公告: https://www.us-cert.gov/ncas/current-activity/2017/11/21/Intel-Firmware-Vulnerability
Intel官方公告:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
漏洞简要分析:https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
完整详细分析:https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html