一、漏洞描述
由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。
根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号为CVE-2017-5754,而Spectre涉及CVE编号为CVE-2017-5715和2017-5753。
bounds check bypass (CVE-2017-5753)
branch target injection (CVE-2017-5715)
rogue data cache load (CVE-2017-5754)
漏洞影响范围:该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。
漏洞风险:从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。
二、漏洞修复
本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。
跟踪状态如下(2018年1月20日更新,请向右横拉最下方滚动条查看全部内容):
操作系统 | 发行版本 | 架构 | 是否受影响 | 官方补丁状态 | 镜像修复状态 | 镜像源更新状态 | 厂商官方安全公告 | 补丁更新方式 |
---|---|---|---|---|---|---|---|---|
Microsoft Windows Server | 2008 R2 | i386/x64 | 是 | 已发布 | 未修复 | 已推送补丁 | Windows Server系统均已发布补丁,详见微软官方公告。 |
注意: 1.按目前Windows的安全补丁推送策略,若Windows操作系统未安装微软认证的安全软件,则Windows Server2008 R2、Windows Server2012 R2系统将不会收到此类补丁的自动推送;若需安装此补丁,用户可根据下载地址自行下载安装。Windows Server 2016, Windows Server 1709不受此策略影响; 2.若需安装此补丁,用户可根据下载地址自行下载安装或者设置以下注册表以接收更新,点击查看详情;
3.在安装补丁前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。 |
2012 R2 | x64 | 是 | 已发布 | 未修复 | 已推送补丁 | |||
2016 R2 | x64 | 是 | 已发布 | 未修复 | 已推送补丁 | |||
Version 1709 | x64 | 是 | 已发布 | 未修复 | 已推送补丁 | |||
Aliyun Linux | 所有版本 | x64 | 是 | 已发布 | 已修复 | 已更新 | 阿里云官方发布公告 |
提示:15.01该版本已下线,老用户可以升级,新用户推荐使用17.01。 注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。 |
CentOS | 所有版本 | x64 | 是 | 已发布 | 未修复 | 已更新 |
注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。 | |
Redhat |
| x64 | 是 | 已发布 | 未修复 | 已更新 | ||
Ubuntu | 所有版本 | i386/x64 | 是 | 已发布 | 未修复 | 已更新 |
|
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 |
Debain | 所有版本 | i386/x64 | 是 | 发布CVE-2017-5754补丁 | 未修复 | 已更新 |
注意:在更新安装升级前,建议做好测试工作,并务必做好数据备份和快照,防止出现意外。 | |
SUSE Linux Enterprise Server |
| x64 | 是 | 已发布 | 已修复系统
| 已更新 |
注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。 | |
Open SUSE | 所有版本 | x64 | 是 | 已发布 | 未修复 | 已更新 | https://lists.opensuse.org/opensuse-security-announce/2018-01/msg00001.html |
注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。 |
CoreOS | 所有版本 | x64 | 是 | 已发布 | 未修复 | 已更新 | https://coreos.com/blog/container-linux-meltdown-patch |
注意:在安装更新前,建议进行相关测试工作。同时,务必请做好数据备份和快照,防止出现意外情况。 |
gentoo | 所有版本 | x64 | 是 | 未发布 | 未修复 | 未更新 | https://archives.gentoo.org/gentoo-user/message/11050085e72a8a05aa84e10a89ce3498 CVE-2017-5753: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5753 CVE-2017-5715: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5715 CVE-2017-5754: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5754 | 暂无 |
FreeBSD | 所有版本 | x64 | 是 | 未发布 | 未修复 | 未更新 | https://www.freebsd.org/news/newsflash.html#event20180104:01 | 暂无 |
注:目前发现Linux系统执行修补后可能造成一定程度的性能影响。该漏洞只能通过本地提权操作才能获取敏感信息,为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞。修补前请做好业务验证及必要的数据备份。
三、情报来源
US CERT公告: https://www.us-cert.gov/ncas/current-activity/2017/11/21/Intel-Firmware-Vulnerability
Intel官方公告:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
漏洞简要分析:https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
完整详细分析:https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html