最近 Intel 被爆出芯片硬件设计层面的漏洞,可能导致系统信息泄露、应用跨界访问内核数据等问题。由于涉及到的 CPU 产品线涵盖 1995 年出厂的几乎所有 Intel CPU 芯片,不可能进行全球召回处理,因此只能在系统层打补丁修复这一问题。针对本次安全事件我们已经安排好运算节点修复日程表,具体时间细节请阅读近期群发的短信、邮件通知。本文将对漏洞补丁做汇总方便用户更新虚拟机系统。
漏洞编号
- CVE-2017-5753
- CVE-2017-5715
- CVE-2017-5754
漏洞描述
现代 CPU 通常使用「预测执行」(Speculative Execution)和「分支预测」(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露,根据获取到的数据,可能会导致用户的数据隐私泄露、登陆凭证被攻击者窃取。具体信息如下:
- Meltdown漏洞利用破坏了用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。
- Spectre 漏洞利用破坏了不同应用程序之间的安全隔离,允许攻击者借助于无错程序(Error-Free)来获取敏感信息。
修复方法
运算节点我们会按照时间表逐步测试和安装补丁,预计 IO 性能会下降 5%-30%根据我们的业务场景实测计算性能不存在变化,IO 性能同比下降大约 0.1%。由于本次漏洞利用要求条件较高,需要首先持有本地用户权限进行内存操作才有可能产生问题。因此虚拟机用户可根据业务场景自行判断是否需要安装补丁。以下为目前我们平台提供的系统对应的补丁列表供参考(最后更新 2 月 7 日 22:00):
LInux 补丁
- CentOS 6 x86_64 已修复所有漏洞,yum update 重启后 kenel 版本 >= 2.6.32-696.18.7.el6 即可修复;
- CentOS 7 x86_64 已修复所有漏洞,yum update 重启后 kenel 版本 >= 3.10.0-693.11.6.el7 即可修复;
- Debian 8 x86_64 仅修复 CVE-2017-5754,apt-get update && apt-get upgrade 重启后 kernel 版本 >= 3.16.51-3+deb8u1 即可修复;
- Ubuntu 16 x86_64 已修复所有漏洞,apt-get update && apt-get upgrade && apt-get dist-upgrade 重启后 kernel 版本 >= 4.4.0-112 即可修复。
※ 以上版本为我们所有机房更新源的同步情况,将会每天更新直到全部发布。
沙发~
。。。
得準備滾內核了