【操作系统安全漏洞】Intel处理器Meltdown和Spectre安全漏洞公告

标签:操作系统安全,漏洞,Intel处理器,Meltdown,Spectre 发布时间:2018-06-01

一、漏洞描述

由于计算机处理器芯片在实现上存在安全缺陷，无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开，使得攻击者可以绕过内存访问的安全隔离边界，在内核中读取操作系统和其他程序的内存数据，造成敏感信息泄露风险。

根据披露的攻击细节和阿里云技术团队的综合分析，本次针对英特尔处理器漏洞有两种攻击方法，分别为Meltdown和Spectre。Meltdown涉及CVE编号为CVE-2017-5754，而Spectre涉及CVE编号为CVE-2017-5715和2017-5753。

bounds check bypass (CVE-2017-5753)

branch target injection (CVE-2017-5715)

rogue data cache load (CVE-2017-5754)

漏洞影响范围:该漏洞存在于英特尔（Intel）x86-64的硬件中，本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。

漏洞风险:从目前公开的PoC测试来看，攻击者需要获取本地普通账号权限后，再进一步进行提权操作，从而获取更高权限越权获取本地敏感信息，漏洞利用有一定的条件。

二、漏洞修复

本次漏洞租户需要更新补丁以彻底规避该风险，阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态，并第一时间修复官方提供的操作系统镜像。

跟踪状态如下（2018年1月20日更新，请向右横拉最下方滚动条查看全部内容）：

操作系统	发行版本	架构	是否受影响	官方补丁状态	镜像修复状态	镜像源更新状态	厂商官方安全公告	补丁更新方式
Microsoft Windows Server	2008 R2	i386/x64	是	已发布	未修复	已推送补丁	Windows Server系统均已发布补丁，详见微软官方公告。	建议您打开Windows Update，然后单击检查更新。根据业务情况下载安装相关安全补丁。补丁安装完成后重启服务器，并检查系统运行情况。您也可以手工下载补丁安装修复漏洞： Windows Server Version 1709：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892 Window Server 2016:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890 Windows Server 2012 R2:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898 Windows Server 2008 R2:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897 补丁安装完成后，重启服务器生效。注意： 1.按目前Windows的安全补丁推送策略，若Windows操作系统未安装微软认证的安全软件，则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的自动推送；若需安装此补丁，用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; 2.若需安装此补丁，用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情; `Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000”` 3.在安装补丁前，建议进行相关测试工作。同时，务必请做好数据备份和快照，防止出现意外情况。
	2012 R2	x64	是	已发布	未修复	已推送补丁
	2016 R2	x64	是	已发布	未修复	已推送补丁
	Version 1709	x64	是	已发布	未修复	已推送补丁
Aliyun Linux	所有版本	x64	是	已发布	已修复	已更新	阿里云官方发布公告	升级内核：15.01 : yum update kernel17.01 : yum update kernel-alinux 重启系统；检查版本15.01 : kernel >= 2.6.32-220.23.3.al.ali1.3.alios6.x86_64 提示：15.01该版本已下线，老用户可以升级，新用户推荐使用17.01。注意：在安装更新前，建议进行相关测试工作。同时，务必请做好数据备份和快照，防止出现意外情况。
CentOS	所有版本	x64	是	已发布	未修复	已更新	https://access.redhat.com/security/vulnerabilities/speculativeexecution https://access.redhat.com/errata/RHSA-2018:0007 https://access.redhat.com/errata/RHSA-2018:0008	使用root账号权限执行更新命令`yum update kernel`；重新启动系统；检查版本： rhel 6 : kernel >= 2.6.32-696.18.7.el6 rhel 7 : kernel >= 3.10.0-693.11.6.el7 注意：在安装更新前，建议进行相关测试工作。同时，务必请做好数据备份和快照，防止出现意外情况。
Redhat	el6 el7	x64	是	已发布	未修复	已更新
Ubuntu	所有版本	i386/x64	是	已发布	未修复	已更新	https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/ https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5754.html https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5753.html https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5715.html	使用root账号权限执行更新命令：更新列表：`apt-get update` 升级：`apt-get upgrade` 重启系统注意：在更新安装升级前，建议做好测试工作，并务必做好数据备份和快照，防止出现意外。
Debain	所有版本	i386/x64	是	发布CVE-2017-5754补丁	未修复	已更新	https://security-tracker.debian.org/tracker/CVE-2017-5754 https://security-tracker.debian.org/tracker/CVE-2017-5753 https://security-tracker.debian.org/tracker/CVE-2017-5715	使用root账号权限执行更新命令：更新列表：`apt-get update` 升级：`apt-get upgrade` 重启系统注意：在更新安装升级前，建议做好测试工作，并务必做好数据备份和快照，防止出现意外。
SUSE Linux Enterprise Server	SUSE 11 SP4 SUSE 12 SP2	x64	是	已发布	已修复系统 SUSE 11 SP4 SUSE 12 SP2	已更新	https://www.suse.com/security/cve/CVE-2017-5754/ https://www.suse.com/security/cve/CVE-2017-5753/ https://www.suse.com/security/cve/CVE-2017-5715/	使用root账号权限执行更新命令`zypper refresh && zypper patch`；重新启动系统；检查版本： suse 11 sp4 : kernel-default >= 3.0.101-108.21.1 microcode_ctl >= 1.17-102.83.6.1 suse 12 sp2 : kernel-default >= 4.4.103-92.56.1 kernel-firmware >= 20170530-21.16.1 ucode-intel >= 20170707-13.8.1 注意：在安装更新前，建议进行相关测试工作。同时，务必请做好数据备份和快照，防止出现意外情况。
Open SUSE	所有版本	x64	是	已发布	未修复	已更新	https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html	使用root账号权限执行更新命令`安装 patch :zypper patch —cve=cve-2017-5753 —cve=cve-2017-5754 —cve=cve-2017-5715`；重启系统；检查版本：opensuse 42.3 : kernel-default >= 4.4.104-39.1 注意：在安装更新前，建议进行相关测试工作。同时，务必请做好数据备份和快照，防止出现意外情况。
CoreOS	所有版本	x64	是	已发布	未修复	已更新	https://coreos.com/blog/container-linux-meltdown-patch	升级系统重新启动系统。检查版本： stable >= 1576.5.0 alpha >= 1649.0.0 beta >= 1632.1.0 注意：在安装更新前，建议进行相关测试工作。同时，务必请做好数据备份和快照，防止出现意外情况。
gentoo	所有版本	x64	是	未发布	未修复	未更新	https://archives.gentoo.org/gentoo-user/message/11050085e72a8a05aa84e10a89ce3498 CVE-2017-5753: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5753 CVE-2017-5715: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5715 CVE-2017-5754: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5754	暂无
FreeBSD	所有版本	x64	是	未发布	未修复	未更新	https://www.freebsd.org/news/newsflash.html#event20180104:01	暂无

注：目前发现Linux系统执行修补后可能造成一定程度的性能影响。该漏洞只能通过本地提权操作才能获取敏感信息，为了确保业务的稳定性，请用户根据自身业务情况决定是否需要升级修复漏洞。修补前请做好业务验证及必要的数据备份。

三、情报来源

Google披露攻击细节：https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html?m=1&from=groupmessage&isappinstalled=0

US CERT公告: https://www.us-cert.gov/ncas/current-activity/2017/11/21/Intel-Firmware-Vulnerability

Intel官方公告：https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

漏洞简要分析：https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

完整详细分析：https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html

>上一篇: 【操作系统安全漏洞】微软2018年01月09日“周二补丁日”发布漏洞安全 >下一篇: 【操作系统安全漏洞】微软2017年12月12日“周二补丁日”发布漏洞安全

【操作系统安全漏洞 】Intel处理器Meltdown和Spectre安全漏洞公告

【操作系统安全漏洞】Intel处理器Meltdown和Spectre安全漏洞公告