【大话IT】关于Intel CPU设计漏洞，由云服务“中招”所想到？

王楠w_n

本期获奖的小伙伴有：liyc444、Ryan-liumin、forgaoqiang，我们会尽快联系每一位获奖人员~
话题背景：
昨天不少外媒报道了 Intel 芯片级安全漏洞出现，可能导致 Linux 和 Windows 内核关键部分需要重新设计。这个漏洞会导致攻击者从普通程序入口获取推测到本该受到保护的内核内存区域的内容和布局，也就是说，攻击者可以从数据库或者浏览器的 JavaScript 程序获取你的内存信息。
援引：
1. 目前已知的消息（我不完全确定是这样）
2. 此漏洞会导致低权限应用访问到内核内存
3. 此漏洞是硬件设计导致的，无法使用microcode修复，只能进行OS级的修复
4. OS级的修复会导致严重的性能问题，将会导致5%-30%的性能下降
5. 目前phoronix已对此进行了测试，IO性能几乎下降了50%，编译性能下降了接近30%，
postgresql和redis也有差不多20%的性能下跌，详细地址：
https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=2

等等，以上更新目前不确切，以各位坛友的关注回复的最新进度为准。
讨论问题：

• 是否了解该漏洞，目前何种进展？都涉及哪些技术层面的问题。
• 关于该事件，有哪些可行性的修复方法？（借鉴别人的修复方法即可，本帖意在汇总此事件波及的范围和深度。）
• 是否关注到各大云服务厂商，有哪些动作？从哪些方面做了调整和努力
  

活动时间：2018年1月4日—1月31号

活动奖励：
活动结束后，我们将选取3位讨论精彩的同学，各送一台H3C路由器。

wolfop

Meltdown，还有一个对所有超标量的CPU都有影响的spectre

liyc444

1.是否了解该漏洞，目前何种进展？都涉及哪些技术层面的问题。

  了解该漏洞信息是从qingcloud公有云的消息通知了解，当前intel官网公布一些硬件厂家的处理办法，
Acer ： 支持信息
华擎科技： 支持信息
ASUS： 支持信息
compulab ： 支持信息
戴尔客户端： 支持信息
戴尔服务器： 支持信息
富士通： 支持信息
getac ： 支持信息
GIGABYTE： 支持信息
惠普 公司： 支持信息
Hpe 服务器： 支持信息
英特尔® NUC 、英特尔® 电脑棒和英特尔® 电脑卡： 支持信息
英特尔® 服务器： 支持信息
联想： 支持信息
Microsoft Surface*： 支持信息
MSI ： 支持信息
NEC ： 支持信息
Oracle ： 支持信息
Panasonic ： 支持信息
广达/qct ： 支持信息
Supermicro ： 支持信息
东芝： 支持信息
VAIO ： 支持信息
wiwynn ： 支持信息

具体看链接https://www.intel.cn/content/www ... 25619/software.html

2.关于该事件，有哪些可行性的修复方法？（借鉴别人的修复方法即可，本帖意在汇总此事件波及的范围和深度。）
个人联想笔记本小新air 通过检测工具发现有问题（检测工具下载地址https://downloadcenter.intel.com/zh-cn/download/27150
），在采用联想的程序包修复，报错终止，未能继续修复，电话咨询客服，说当前只是报道有漏洞，暂无应用案例，当前联想研究人员正在研究，后续补丁包在3月份左右发出。

其他补丁包可登陆上述intel 提供的各硬件厂商进行尝试

3.是否关注到各大云服务厂商，有哪些动作？从哪些方面做了调整和努力。

华三私有云与其沟通，当前在实验室模拟出问题，正在研发补丁进行热修复，预计时间2018年1月11日左右。
qingcloud当前根据公告及实际沟通，目前未发现平台异常，并保持随时关注，有最新突破会提前主动联系用户。

其他云服务商了解较少，期待后续朋友补充完善。

hai503

1、是否了解该漏洞，目前何种进展？都涉及哪些技术层面的问题。
这两天各大网站都在报导，Windows、Linux、macOS、亚马逊AWS、谷歌安卓均中招。

除了Intel处理器，还波及ARM的Cortex-A架构和AMD处理器。
Cortex-A目前广泛用于手机SoC平台，包括高通、联发科、三星等等。这样看来，近期也要关注手机系统更新了！
虽然AMD称基于谷歌研究的三种攻击方式，自己的处理器基本免疫。但Spectre（幽灵）漏洞的联合发现者Daniel Gruss（奥地利格拉茨技术大学）称，他基于AMD处理器的Spectre代码攻击模拟相当成功，绝不能低估。

2、关于该事件，有哪些可行性的修复方法？（借鉴别人的修复方法即可，本帖意在汇总此事件波及的范围和深度。）
Intel建议关注后续的芯片组更新、主板BIOS更新，但首先，应该把OS级别的补丁打上。

对于Meltdown漏洞：Linux已经发布了KAISER、macOS从10.13.2予以了修复、谷歌号称已经修复，Win10 Insider去年底修复、Win10秋季创意者更新今晨发布了KB4056892，将强制自动安装。

亚马逊也公布了指导方案。

对于难度更高的Spectre漏洞，目前仍在攻坚。

3、是否关注到各大云服务厂商，有哪些动作？从哪些方面做了调整和努力
Azure服务器已经在通知用户后重启，应该是打了最新的OS补丁。https://azure.microsoft.com/en-u ... -cpu-vulnerability/

AWS公布了指导方案：https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

关于漏洞修复后的性能下降，不由自主的会和iPhone的“电池门”联系起来，厂商推进“硬件淘汰”，似乎都有 超凡的“远见”……

hai503

再说句题外话，CPU的漏洞真的是“漏洞”吗？
会不会是预留的backdoor？！！
是道德的沦丧，还是人性的扭曲？请各位继续讨论~~

help01

1、是否了解该漏洞，目前何种进展？都涉及哪些技术层面的问题。
这次主要是Meltdown和Spectre两个安全漏洞，Meltdown可以允许低权限、用户级别的应用程序“越界”访问系统级的内存，从而造成数据泄露，会影响到台式、笔记本和云设备；而Spectre则可以骗过安全检查程序，使得应用程序访问内存的任意位置，除了会影响到台式、笔记本和云设备，还会额外影响智能手机，对云服务提供商的威胁更大。每一个1995年后的处理器都会受到这个漏洞影响，所有芯片厂商（Intel, AMD, ARM）和主要的操作系统（Windows, Linux, macOS, Android, ChromeOS）、云服务提供者 (Amazon, Google, Microsoft) 都会有影响。

2、关于该事件，有哪些可行性的修复方法？
1）升级网页浏览器到最新版。现在恶意攻击主要是通过联网进行，所以网页浏览器是一道不可忽视的防线，微软已经放出了新版Edge和IE浏览器封堵漏洞，Google、苹果将在之后的Chrome 64和Safari提供安全补丁，Firefox可更新到57版来修补。
2）升级操作系统最新安全补丁。微软已于近日为Windows 10推送了安全补丁更新，而苹果早在去年十二月的IOS11.2和macOS 10.13.2上针对Meltdown做了缓解措施。
3）根据电脑主板的型号到厂商官方网站查询支持信息，看是否有新版固件、BIOS升级。

3、是否关注到各大云服务厂商，有哪些动作？从哪些方面做了调整和努力
为解决该安全问题，腾讯云将于北京时间2018年1月10日凌晨01:00-05:00通过热升级技术对硬件平台和虚拟化平台进行后端修复，期间客户业务不会受到影响。对于极少量不支持热升级方式的服务器，腾讯云另行安排时间手动重启修复。
云服务商亚马逊，则在弹性计算云系统EC2中进行了漏洞修复，并发布了通告。
其他诸如华为，阿里，金山，微软，京东，百度等服务商都准备或已经启动应急措施推进漏洞修复。

wolfop

hai503 发表于 2018-1-5 15:49
再说句题外话，CPU的漏洞真的是“漏洞”吗？
会不会是预留的backdoor？！！
是道德的沦丧，还是人性的扭 ...

如果相信这种阴谋论的人基本不是做IT的，这个漏洞在超标量CPU乱序执行和分支预测几乎必然的结果。包括所谓国产安全的龙芯也是超标量乱序执行的CPU。近10年的主流CPU，恐怕也就POWER6不是乱序执行的了。

pastime_Wang

站位, 更新!

hai503

wolfop 发表于 2018-1-6 19:12
如果相信这种阴谋论的人基本不是做IT的，这个漏洞在超标量CPU乱序执行和分支预测几乎必然的结果。包括所 ...

前辈说的是！

hai503

最新：
CentOS团队近日面向64位（x86_64）CentOS 7在内的多个版本发布内核安全补丁，重点修复了日前爆发的Meltdown（熔断）和Spectre（幽灵）两个漏洞。CentOS 7基于Red Hat Enterprise Linux 7，本次发布的安全更新是在Red Hat近期发布的修复补丁上进行定制优化的。