ITPUB论坛-中国最专业的IT技术社区

 找回密码
 注册
楼主: 王楠w_n

【大话IT】关于Intel CPU设计漏洞,由云服务“中招”所想到?

[复制链接]
认证徽章
论坛徽章:
2080
亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18
发表于 2018-1-8 14:24 | 显示全部楼层
1、是否了解该漏洞,目前何种进展?都涉及哪些技术层面的问题。
这两天各大网站都在报导,Windows、Linux、macOS、亚马逊AWS、谷歌安卓均中招。

除了Intel处理器,还波及ARM的Cortex-A架构和AMD处理器。
Cortex-A目前广泛用于手机SoC平台,包括高通、联发科、三星等等。这样看来,近期也要关注手机系统更新了!
虽然AMD称基于谷歌研究的三种攻击方式,自己的处理器基本免疫。但Spectre(幽灵)漏洞的联合发现者Daniel Gruss(奥地利格拉茨技术大学)称,他基于AMD处理器的Spectre代码攻击模拟相当成功,绝不能低估。

2、关于该事件,有哪些可行性的修复方法?(借鉴别人的修复方法即可,本帖意在汇总此事件波及的范围和深度。)
Intel建议关注后续的芯片组更新、主板BIOS更新,但首先,应该把OS级别的补丁打上。

对于Meltdown漏洞:Linux已经发布了KAISER、macOS从10.13.2予以了修复、谷歌号称已经修复,Win10 Insider去年底修复、Win10秋季创意者更新今晨发布了KB4056892,将强制自动安装。

亚马逊也公布了指导方案。

对于难度更高的Spectre漏洞,目前仍在攻坚。

3、是否关注到各大云服务厂商,有哪些动作?从哪些方面做了调整和努力
Azure服务器已经在通知用户后重启,应该是打了最新的OS补丁。https://azure.microsoft.com/en-u ... -cpu-vulnerability/

AWS公布了指导方案:https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

关于漏洞修复后的性能下降,不由自主的会和iPhone的“电池门”联系起来,厂商推进“硬件淘汰”,似乎都有 超凡的“远见”……

使用道具 举报

回复
认证徽章
论坛徽章:
54
秀才
日期:2017-02-22 15:18:002015年新春福章
日期:2015-03-06 11:57:31懒羊羊
日期:2015-03-04 14:48:16马上有对象
日期:2014-10-24 17:37:55马上有车
日期:2014-02-18 16:41:112014年新春福章
日期:2014-02-18 16:41:11ITPUB社区12周年站庆徽章
日期:2013-10-08 15:00:34ITPUB社区12周年站庆徽章
日期:2013-10-08 14:57:28ITPUB社区12周年站庆徽章
日期:2013-10-08 14:54:39林肯
日期:2013-09-12 15:57:33
发表于 2018-1-10 14:05 | 显示全部楼层
对大型商业机构、对数据敏感性高的行业、环境有影响
一般中小企业,特别是个人用户就无所谓
漏洞千千万,个人用户还是为了便利性等因素无视

使用道具 举报

回复
论坛徽章:
0
发表于 2018-1-12 12:56 | 显示全部楼层
thanks

使用道具 举报

回复
论坛徽章:
183
红宝石
日期:2014-05-09 08:24:37萤石
日期:2014-01-03 10:25:39金牛座
日期:2015-10-09 17:32:03马上有钱
日期:2014-10-27 09:26:57马上有房
日期:2014-11-07 08:46:05马上有钱
日期:2014-11-12 09:33:24马上有钱
日期:2014-11-24 15:17:08马上有对象
日期:2015-01-14 17:33:15沸羊羊
日期:2015-02-11 09:07:41懒羊羊
日期:2015-03-04 09:03:43
发表于 2018-1-15 08:41 | 显示全部楼层
我在想能否退货,更换新的cpu呢?

使用道具 举报

回复
招聘 : 系统架构师
认证徽章
论坛徽章:
369
秀才
日期:2015-07-14 09:44:30秀才
日期:2015-08-26 09:00:13金牛座
日期:2015-08-28 09:13:22秀才
日期:2015-09-06 10:19:32秀才
日期:2015-09-06 10:42:32巨蟹座
日期:2015-09-09 14:25:25巨蟹座
日期:2015-09-10 09:03:46秀才
日期:2015-09-11 10:43:06秀才
日期:2015-09-21 09:46:16秀才
日期:2015-08-26 09:00:13
发表于 2018-1-15 15:08 | 显示全部楼层
.................

使用道具 举报

回复
认证徽章
论坛徽章:
163
ITPUB十周年纪念徽章
日期:2011-11-01 16:24:04ITPUB 11周年纪念徽章
日期:2012-09-28 17:34:42ITPUB社区12周年站庆徽章
日期:2013-08-13 16:52:38itpub13周年纪念徽章
日期:2014-10-08 15:21:35ITPUB14周年纪念章
日期:2015-10-26 17:23:44ITPUB15周年纪念
日期:2018-02-09 14:12:58状元
日期:2015-11-19 12:58:23榜眼
日期:2015-11-19 12:58:23探花
日期:2015-11-19 12:58:23进士
日期:2015-11-19 12:59:09
发表于 2018-1-16 09:28 | 显示全部楼层
lfree 发表于 2018-1-15 08:41
我在想能否退货,更换新的cpu呢?

家里还有个赛扬1.0,不知道是不是没有漏洞??

使用道具 举报

回复
认证徽章
论坛徽章:
0
发表于 2018-1-16 15:03 | 显示全部楼层
本帖最后由 aloki 于 2018-1-16 15:10 编辑

1.是否了解该漏洞,目前何种进展?都涉及哪些技术层面的问题。
我了解此漏洞,正如网友所说的那样,Intel CPU这个漏洞公布出来就是漏洞,没有公布出来的话就是后门了。恐怕这是计算机体系结构发展史上最大安全漏洞之一。

1月11 日,英特尔公布了有关第六、七和八代英特尔酷睿处理器平台(使用Windows* 10)的几个数据。依然坚称对于大部分普通电脑用户来说,性能的影响并不显著。不过有客户在安装固件更新以修复 Spectre 漏洞时出很多系统重启的情况,这些系统主要包括家用电脑和数据中心服务器。

英特尔表示,用户的处理器越老,性能受到的影响就越大。比较新的处理器(如 Kaby Lake 系列等)的性能下降约 5%,但旧系列的处理器性能下降率则高达 10% 及以上。如果系统安装8代CPU(也就是Kaby Lake、Coffee Lake)和SSD,受到的影响最小,减速不到6%。如果安装7代Kaby Lake-H移动处理器,会减速大约7%。如果是6代Skylake-S平台,大约减速8%。

具体性能影响列表如下,供大家参考:

151599305054.png


这次的漏洞分别叫Meltown(崩溃)和Spectre(幽灵),二者漏洞病态不一样,主要这两个漏洞都是越级访问系统级内存,所以可能会造成受保护的密码、敏感信息泄露。这两个漏洞影响是致命的,可以让极端重要的内核内存中的数据被第三方程序获得,后果严重。这个漏洞虽然是从Intel处理器上爆发出来的,不过它影响的范围不限于X86,这个问题既涉及CPU架构,也涉及到了OS内核,所以桌面处理器、移动处理器以及Windows之外的系统同样受到了影响,包括ARM处理器,Linux系统,还有苹果的Mac OS系统。也就是说,除了给消费者带来影响,也涉及搭载Intel服务器以及云端平台,会遭遇黑客利用这个漏洞获取一些非法的行为。

2.关于该事件,有哪些可行性的修复方法?(借鉴别人的修复方法即可,本帖意在汇总此事件波及的范围和深度。)
此漏洞是芯片级硬件漏洞,单靠通过微代码更新无法弥补,而是需要操作系统厂商一同来修补。
解决方法就是,使用所谓的内核页表隔离(KPTI)功能,将内核的内存与用户进程完全分离开来。只要运行中的程序需要执行任何有用的操作,比如写入到文件或建立网络连接,它就要暂时将处理器的控制权交给内核以便执行任务。
为了尽可能快速而高效地从用户模式切换到内核模式,再切换回到用户模式,内核存在于所有进程的虚拟内存地址空间中,不过这些程序看不见内核。需要内核时,程序进行系统调用,处理器切换到内核模式,进入内核。
完成后,CPU被告知切换回到用户模式,重新进入进程。在用户模式下,内核的代码和数据依然看不见,但存在于进程的页表中。
这个漏洞虽然可以通过系统OS层面的补丁修复,但是会影响性能,而解决问题的根本还是要升级处理器。

具体评估和修复工作,可以参考以下建议和相关厂商的安全公告: 


Intel 的缓解建议

Intel已经和产业界联合,包括其它处理器厂商和软件厂商开发者,来缓解之前提到的三种攻击类型。缓解策略主要聚焦在适配市面产品和部分在研产品。缓解除了解决漏洞本身之外,还需要兼顾到性能影响,实施复杂度等方面。

启用处理器已有的安全特性(如 Supervisor-Mode Execution Protection 和 Execute Disable Bit )可以有效提高攻击门槛。相关信息可以参阅 Intel的相关资料。

Intel 一直在与操作系统厂商,虚拟化厂商,其它相关软件开发者进行合作,协同缓解这些攻击。作为我们的常规研发流程,Intel 会积极保证处理器的性能。


来源:https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Intel-Analysis-of-Speculative-Execution-Side-Channels.pdf


PC 终端用户

PC终端用户,建议用户根据各个平台进行如下对应操作:


微软Windows


修复步骤如下:

1.更新对应的浏览器,缓解 “Spectre”漏洞攻击;


浏览器 缓解措施
360安全浏览器 升级360安全浏览器到9.1及以上版本
Firefox 升级Firefox到57.0.4及以上版本
Chrome 1. 在地址栏中,输入 chrome://flags/#enable-site-per-process,然后按 Enter 键。               
2.点击“Strict site isolation”旁边的启用。(如果系统没有显示“Strict site isolation”,请更新 Chrome。)。               
3. 点击立即重新启动
Edge/IE 补丁集成于Windows补丁中,请参考“更新Windows补丁”

2.更新芯片厂商的微码补丁


芯片厂商 微码补丁
Intel 微码补丁发布流程较复杂,请关注并通过Intel的相关硬件OEM提供商渠道更新(如戴尔,联想,惠普等)。

如:




图2


3.更新Windows补丁

用户可直接下载360安全卫士CPU漏洞免疫工具进行更新


注意:根据微软提供的信息,依然存在部分软件不兼容(如杀毒软件)的风险,请充分了解风险后再选择是否更新:


苹果OSX


苹果在Mac OSX High Sierra 10.13.2 及更高版本修复了Meltdown和Spectre漏洞,请直接升级。


Android & iOS


苹果在iOS 11.2.2及更高版本修复了Spectre漏洞;


Android产品将于近期更新,尽请留意。


IDC云系统管理员



目前部分IDC/云基础架构厂商已经提供了初步解决方案,但是由于补丁带来的风险和性能损耗暂时没有明确,权威的结论。


请系统管理员尽量做到:

1. 积极联系相关的上游了解相关的风险和解决方案,协同制定解决方案;
2. 需要重点关注补丁带来风险和性能损耗评估;
3. 从宏观和微观层面,制定完善,可行的修复和测试流程方案;
4. 涉及到的微码固件补丁请联系硬件OEM厂商,协同修复,测试,评估;


以下是相关厂商提供的解决方案:


Linux-Redhat/CentOS发行版


Redhat提供了一份产品的修复状态清单,建议用户参照该清单进行更新。具体用户可以参考:



鉴于更新完补丁后,在部分应用场景下会造成性能下降,RedHat方面提供了运行时的解决方案:


用户可以通过以下命令临时关闭或部分KPTI,Indirect Branch Restricted Speculation(ibrs),Indirect Branch Prediction Barriers (ibpb) 等安全特性。




图3


该特性需要使用debugfs文件系统被挂在,RHEL 7默认开启了。 在RHEL 6中可以通过以下命令开启:




图4


用户可以通过以下命令查看当前安全特性的开启状态: 



Intel芯片在修复后默认如下: 



图6


Intel芯片在修复后默认如下:



图7


在没有微码固件补丁升级的情况下:



图8


注:Redhat等厂商并不直接提供芯片厂商的微码,需要用户到相关的硬件OEM厂商进行咨询获取。


Linux-Ubuntu发行版


目前Ubuntu只完成对Meltdown(CVE-2017-5754)漏洞在 x86_64平台上的更新。


请关注Ubuntu的更新链接:



Linux-Debian发行版


目前Debian完成了Meltdown(CVE-2017-5754)漏洞的修复。


关于 CVE-2017-5715 和 CVE-2017-5753 请关注Debian的更新链接: 




微软Windows Server


建议用户开启系统自动更新功能,进行补丁补丁安装。


根据微软提供的信息,依然存在部分软件不兼容(如杀毒软件)的风险,请充分了解风险后再选择是否更新。


更多信息请查看:



Xen虚拟化


目前Xen团队针对Meltdown,Spectre漏洞的修复工作依然在进行中,请关注Xen的更新链接:


目前Xen暂时没有性能损耗方面的明确评估,请谨慎更新。


QEMU-KVM虚拟化


QEMU官方建议通过更新guest和host操作系统的补丁来修复Meltdown漏洞,并表示Meltdown漏洞不会造成guest到host的信息窃取。


针对Spectre的变种CVE-2017-5715,QEMU方面正在等待KVM更新后再修复,目前KVM在进行相关补丁整合。需要注意的是,热迁移不能解决CVE-2017-5715漏洞,KVM需要把cpu的新特性expose到guest内核使用,所以guest需要重启。


相关信息请查阅:




云平台租户


360CERT建议云平台用户,


1.    关注所在云厂商的安全公告,配合相关云厂商做好漏洞补丁修复工作;

2.    充分了解和注意补丁带来的风险和性能损耗方面的指标;

3.    更新前可以考虑使用相关快照或备份功能;

ARM

以下已经确认产品受到这些漏洞的影响。

Processor 变体1 变体 2 变体3 变体3a
Cortex-R7 Yes* Yes* No No
Cortex-R8 Yes* Yes* No No
Cortex-A8 Yes (under review) Yes No No
Cortex-A9 Yes Yes No No
Cortex-A15 Yes (under review) Yes No Yes
Cortex-A17 Yes Yes No No
Cortex-A57 Yes Yes No Yes
Cortex-A72 Yes Yes No Yes
Cortex-A73 Yes Yes No No
Cortex-A75 Yes Yes Yes No

由于Cortex-R的常见使用模式是在非开放环境中,应用程序或进程受到严格控制,因此无法被利用。

应用Arm提供的所有内核补丁:

https://git.kernel.org/pub/scm/linux/kernel/git/arm64/linux.git/log/?h=kpti


华为

以下已经确认产品受到这些漏洞的影响。

BH621 V2 DH626 V2 XH310 V3 2488 V5
RH2268 V2 CH222 CH220 V3 9008
X6000 RH2488 V2 RH5885 V3 RH1288 V2
BH622 V2 DH628 V2 XH321 V3 XH320
RH2285 V2 CH240 CH222 V3 9016
DH310 V2 RH5885 V2 RH5885H V3 RH2265 V2
BH640 V2 XH310 V2 XH620 V3 XH620
RH2285H V2 CH242 CH225 V3 9032
DH320 V2 RH1288A V2 5288 V3 FusionServer G5500
CH121 XH311 V2 XH622 V3 2488 V5
RH2288 V2 CH121 V3 CH226 V3 XH321 V5
DH321 V2 RH2288A V2 RH8100 V3 CH242 V5
CH140 XH320 V2 XH628 V3 XH621 V2
RH2288E V2 CH121L V3 CH242 V3 CH140L V3
DH620 V2 RH1288 V3 1288H V5 CH221
CH220 XH321 V2 X6000 V3 RH2485 V2
RH2288H V2 CH140 V3 CH121 V5    
DH621 V2 RH2288 V3 2288H V5    

软件版本和修复情况

产品名称 受影响的版本 已解决的产品和版本
CH121 V3 V100R001C00SPC250之前的版本 V100R001C00SPC250 [1]
CH121L V3 版本在V100R001C00SPC150之前 V100R001C00SPC150 [1]
CH140 V3 V100R001C00SPC170之前的版本 V100R001C00SPC170 [1]
CH140L V3 版本在V100R001C00SPC150之前 V100R001C00SPC150 [1]
CH220 V3 V100R001C00SPC250之前的版本 V100R001C00SPC250 [1]
CH222 V3 V100R001C00SPC250之前的版本 V100R001C00SPC250 [1]
CH225 V3 版本在V100R001C00SPC150之前 V100R001C00SPC150 [1]
CH226 V3 V100R001C00SPC170之前的版本 V100R001C00SPC170 [1]
1288H V5 V100R005C00SPC107之前的版本 V100R005C00SPC107 [2]
2288H V5 V100R005C00SPC107之前的版本 V100R005C00SPC107 [2]

注意:

[1]将BIOS升级至V382版本,将iBMC升级至V268版本。除了这两个组件外,还需要升级操作系统供应商提供的操作系统补丁。
[2]将BIOS升级至V055版本,将iBMC升级至V270版本。除了这两个组件外,还需要升级操作系统供应商提供的操作系统补丁。

IBM

针对 Power Systems 客户端完全缓解此漏洞涉及将修补程序安装到系统固件和操作系统。固件修补程序为此漏洞提供了部分修复,并且是操作系统修补程序有效的先决条件。这些将可用如下:

POWER7 +,POWER8和POWER9平台的固件补丁在1 月9 日发布,将在 POWER7 + 之前提供有关支持的代的进一步通信,包括固件补丁和可用性。

Linux操作系统补丁程序于 1 月 9 日开始提供。AIX 和 i 操作系统补丁程序将于 2 月 12 日开始提供。信息将通过 PSIRT提供。

建议客户应该在数据中心环境和标准评估实践的环境中审查这些补丁,以确定是否应该应用这些补丁。目前已确认IBM存储设备不受此漏洞的影响。


Cisco

已经确认以下产品受到这些漏洞的影响。

产品 思科Bug ID 固定版本可用性
路由和交换 – 企业和服务提供商
思科800工业集成多业务路由器 CSCvh31418             
统一计算
思科UCS  B系列M2                刀片服务器             CSCvh31576 修复挂起
思科UCS  B系列M3                刀片服务器             CSCvg97965 18-FEB-2018
Cisco UCS  B系列M4刀片服务器(                B260B460除外) CSCvg97979 18-FEB-2018
Cisco UCS  B系列M5刀片服务器                CSCvh31577 18-FEB-2018
Cisco UCS  B260 M4刀片服务器 CSCvg98015 18-FEB-2018                
思科UCS  B460 M4刀片服务器 CSCvg98015 18-FEB-2018                
思科UCS  C系列M2                机架服务器             CSCvh31576 修复挂起
思科UCS  C系列M3                机架服务器             CSCvg97965 18-FEB-2018
Cisco UCS  C系列M4机架式服务器(                C460除外) CSCvg97979 18-FEB-2018
思科UCS  C系列M5                机架式服务器             CSCvh31577 18-FEB-2018
思科UCS  C460 M4机架式服务器 CSCvg98015 18-FEB-2018

思科已确认这些漏洞不会影响以下产品:

路由和交换 – 企业和服务提供商,思科1000系列互联电网路由器。


Windows Server服务器

建议的操作

1)      应用Windows操作系统更新。
2)      进行必要的配置更改以启用保护。
3)      从OEM设备制造商应用适用的固件更新。
4)      在服务器启用保护(Hyper-V主机、远程桌面服务主机RDSH、不可信代码的物理主机或虚拟机)

使用这些注册表项在服务器上启用缓解措施,并确保重新启动系统以使更改生效:

修改注册表设置

reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \CurrentControlSet \ Control \ Session Manager \ Memory Management”/ vFeatureSettingsOverride / t REG_DWORD / d 0 / f
reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \CurrentControlSet \ Control \ Session Manager \ Memory Management”/ vFeatureSettingsOverrideMask / t REG_DWORD / d 3 / f
reg添加“HKLM \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Virtualization”/ v MinVmVersionForCpuBasedMitigations / tREG_SZ / d“1.0”/ f
如果这是Hyper-V主机:完全关闭所有虚拟机。
重新启动服务器以使更改生效。

禁用此修复程序

reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \CurrentControlSet \ Control \ Session Manager \ Memory Management”/ vFeatureSettingsOverride / t REG_DWORD / d 3 / f
reg添加“HKEY_LOCAL_MACHINE \ SYSTEM \CurrentControlSet \ Control \ Session Manager \ Memory Management”/ vFeatureSettingsOverrideMask / t REG_DWORD / d 3 / f

重新启动服务器以使更改生效。

不需要改变MinVmVersionForCpuBasedMitigations。

Windows Server,版本1709(服务器核心安装)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/01/windows10.0-kb4056892-x86_delta_45f3a157eb4b4ced11044f6c462f21ec74287cb5.msu

Windows Server 2016

http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/01/windows10.0-kb4056890-x86_delta_ae277fcd1c944c58250231266a9a5d73ea5a6114.msu

Windows Server 2012 R2

http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/01/windows8.1-kb4056898-v2-x86_f0781f0b1d96c7b12a18c66f99cf94447b2fa07f.msu

Windows Server 2008 R2

http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/01/windows6.1-kb4056897-x64_2af35062f69ce80c4cd6eef030eda31ca5c109ed.msu


Windows客户端

操作建议:

在安装操作系统或固件更新之前,请确认您正在运行受支持的防病毒应用程序。有关兼容性信息,请与防病毒软件供应商联系。
应用所有可用的Windows操作系统更新,包括2018年1月的Windows安全更新。
应用设备制造商提供的适用固件更新。

注意:

安装Windows 2018年1月版安全更新的客户将无法获得所有已知的针对此漏洞的保护。除了安装1月份的安全更新之外,还需要更新处理器微代码或固件,具体可联系设备商。


VMware

版本的补丁,此修补程序针对CVE-2017-5715进行了修复,但未针对CVE-2017-5753进行修复。

VMware ESXi 6.5

下载: https://my.vmware.com/group/vmware/patch

VMware ESXi 6.0

下载:https://my.vmware.com/group/vmware/patch

VMware ESXi 5.5

下载:https://my.vmware.com/group/vmware/patch

VMware Workstation Pro,Player 12.5.8

下载:https://www.vmware.com/go/downloadworkstation

VMware Fusion Pro /Fusion 8.5.9

下载:https://www.vmware.com/go/downloadfusion


CitrixXenServer

Citrix XenServer 7.3:CTX230790 - https://support.citrix.com/article/ctx230790

Citrix XenServer 7.2:CTX230789 - https://support.citrix.com/article/ctx230789

Citrix XenServer 7.1 LTSRCU1:CTX230788 – https://support.citrix.com/article/ctx230788


Mozilla

已经发布了上述两个与时间相关的缓解措施,分别是Firefox57.0.4,Beta和Developers Edition58.0b14,以及“2018-01-04”及以后版本的Nightly59.0a1。Firefox 52 ESR不支持SharedArrayBuffer,风险较小; 的performance.now()缓解将包括在2018 1月23日定期的FirefoxESR 52.6释放。




3.是否关注到各大云服务厂商,有哪些动作?从哪些方面做了调整和努力
我了解到此漏洞公布后,AWS、Azure、阿里云、 腾讯云、金山云纷纷发出升级公告。
1)Amazon
Amazon方面已经发布一项安全公告,指出:此项安全漏洞广泛存在于过去20年推出的英特尔、AMD以及ARM等各类现代处理器架构当中,影响范围涵盖服务器、台式机以及移动设备。Amazon EC2体系中除极少数实例外,其余皆受到严格保护。剩余部分的修复工作将在接下来数小时内完成,并附有相关实例维护通知。虽然AWS所执行的更新能够切实保护底层基础设施,但为了充分解决此次问题,客户还应对实例中的操作系统进行修复。目前Amazon Linux更新已经开始发布,具体如下:
https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

2)阿里云
为解决处理器芯片的安全问题,阿里云在北京时间2018年1月12日凌晨1点进行虚拟化底层的升级更新。届时,阿里云将采用热升级的方式,绝大多数客户不会受到影响。但个别客户可能需要手动重启,阿里云建议客户提前准备运营预案及数据备份。

3)腾讯云
腾讯云于北京时间2018年1月10日凌晨01:00-05:00通过热升级技术对硬件平台和虚拟化平台进行后端修复,期间客户业务不会受到影响。对于极少量不支持热升级方式的,腾讯云另行安排时间手动重启修复。

4)Azure
Azure 的大部分基础设施已经完成更新以修复这个漏洞。还有一部分组件仍在更新当中,这需要客户重新启动虚拟机以使安全更新生效。在北京时间 2018 年 1 月 4 日上午 11:30 开始自动重启剩余受影响的虚拟机。为了加快本次更新进度,原本向部分客户开放的自助维护窗口现在已经全部关闭。

5)金山云
只出了一份简单的安抚用户的公告,并没有具体的升级时间。

此漏洞对多租户下的云服务体系影响比较大,攻击者在云平台通过本地的普通的访问权限就可以读取云平台的敏感信息,为进一步获得更高的权限和获得机密数据提供了可能。所以敏感数据和运算尽可能在独立的安全芯片上运行,使得普通权限的执行环境和高权限的执行环境从物理上隔离起来。同时及时升级补丁,特别是公有云平台。由于云服务体系的庞大、复杂,云服务厂家应尽早地进行漏洞修补,避免关键数据和隐私的泄露、登陆凭证被窃取导致连锁攻击等次生灾害。

使用道具 举报

回复
认证徽章
论坛徽章:
11
马上有房
日期:2015-01-02 19:25:04秀才
日期:2017-03-01 13:53:39秀才
日期:2017-02-22 15:14:12至尊黑钻
日期:2015-07-23 09:31:02秀才
日期:2015-07-07 09:08:11秀才
日期:2015-07-06 13:00:08秀才
日期:2015-07-06 13:00:08秀才
日期:2015-07-01 13:54:112015年新春福章
日期:2015-03-06 11:58:18美羊羊
日期:2015-03-04 14:52:28
发表于 2018-1-17 16:16 | 显示全部楼层
实际用漏洞利用测试工具试了下,┭┮﹏┭┮ 阿里云的服务器中招 不知道这漏洞实际利用起来怎么样 我也更新下自己搜集的相关资料供大家参考吧

使用道具 举报

回复
认证徽章
论坛徽章:
11
马上有房
日期:2015-01-02 19:25:04秀才
日期:2017-03-01 13:53:39秀才
日期:2017-02-22 15:14:12至尊黑钻
日期:2015-07-23 09:31:02秀才
日期:2015-07-07 09:08:11秀才
日期:2015-07-06 13:00:08秀才
日期:2015-07-06 13:00:08秀才
日期:2015-07-01 13:54:112015年新春福章
日期:2015-03-06 11:58:18美羊羊
日期:2015-03-04 14:52:28
发表于 2018-1-17 16:51 | 显示全部楼层
本帖最后由 forgaoqiang 于 2018-1-17 16:54 编辑

首先说下Meltdown和Spectre的区别
7b2d5cac-3c26-4c71-90bf-6e76cbf32e4f.png
Meltdown breaks the mechanism that keeps applications from accessing arbitrary system memory. Consequently, applications can access system memory. Spectre tricks other applications into accessing arbitrary locations in their memory. Both attacks use side channels to obtain the information from the accessed memory location. For a more technical discussion we refer to the papers (Meltdown and Spectre)

其实算是两个级别的漏洞,第一个比较严重:
熔断(核心隔离失败)根据定义可以看出正常情况下程序是不能访问系统内存的,如果程序可以访问系统内存,那就事情大条了,这个漏洞就是程序可以访问系统任意内存
幽灵:这个是一个程序可以访问另一个程序的内存内容,无法访问系统的内容,相对来说问题小一些
TIM截图20180117163202.png
仔细看下区别,看上去Intel的问题严重一些,当然有一个前提就是必须在系统上有恶意程序运行才有可能触发这个漏洞

下面是漏洞的第三方描述
由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。

1、当前事情进展
据我根据新闻的了解,目前为止无论是Intel还是苹果、AMD均有上面两个问题中的至少一个,硬件厂商几乎无能为力,只能保证之后的处理器不再有此漏洞,无法进行固件级别升级,只能依靠操作系统“绕过”这个漏洞。
Linux更新 4.14.12,4.9.75 和 4.4.110,将 Meltdown 和 Spectre 修补补丁移植到稳定内核分支
Windows也发布了新的补丁版本,可以防止程序有效利用此漏洞
云提供商均有此问题,AWS/Aliyun/JD/Tencent/ 全部都有此问题

2、解决方案?
升级操作系统,安装对应的补丁,同时做好性能下降的准备,当然很多云服务商仍然不推荐用户修补此问题,如果没有明确可能会受此问题影响的业务,可以暂时忽略此问题。
部分重量级应用,比如火狐浏览器(Firefox 57.0.4 发布主要就是修复 Meltdown 和 Spectre 漏洞),通过自身的一些代码修改,避免通过自身利用这两个漏洞,因此可以考虑更新应用软件

3、是否关注到各大云服务厂商,有哪些动作?从哪些方面做了调整和努力
公司主要业务都在阿里云上,因为大部分都是基于WEB的应用,可能并不会受到较大影响,通过开源的PoC工具测试,1月10号左右此问题依然存在,阿里云也就此发布了专题,链接如下:阿里云关于Intel漏洞问题专题
x.png
根据公告可以看出,目前问题没有完全解决,预计还需要几天完成对应的修复升级工作
其他云厂商因为并没有使用它们 IaaS级别的服务,具体的细节没有太关心,现在应该完全基本的规避修复工作了,只是带来的性能下降,估计最终会直接算到终端用户身上。







使用道具 举报

回复
认证徽章
论坛徽章:
11
马上有房
日期:2015-01-02 19:25:04秀才
日期:2017-03-01 13:53:39秀才
日期:2017-02-22 15:14:12至尊黑钻
日期:2015-07-23 09:31:02秀才
日期:2015-07-07 09:08:11秀才
日期:2015-07-06 13:00:08秀才
日期:2015-07-06 13:00:08秀才
日期:2015-07-01 13:54:112015年新春福章
日期:2015-03-06 11:58:18美羊羊
日期:2015-03-04 14:52:28
发表于 2018-1-17 16:52 | 显示全部楼层
lfree 发表于 2018-1-15 08:41
我在想能否退货,更换新的cpu呢?

哈哈 肯定没戏 再说好多笔记本的处理器也无法轻易更换

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

TOP技术积分榜 社区积分榜 徽章 电子杂志 团队 统计 虎吧 老博客 知识索引树 读书频道 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档 | IT博客
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛 | SAP ERP系统
CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 网站律师 隐私政策 知识产权声明
京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表