2018年1月8日
2018年1月10日
2018年1月11日
1、针对云平台底层基础架构的漏洞:阿里云基于SGX技术的商业化产品已经完成修复。
2、针对客户操作系统层的漏洞,已经发布补丁更新的操作系统情况更新如下:
Debian 9(部分漏洞已更新)
SUSE Linux Enterprise Server 12 sp3
【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告
具体详情如下:
漏洞编号:
CVE-2017-5753
CVE-2017-5715
CVE-2017-5754
漏洞名称:
Intel处理器存在严重芯片级漏洞
官方评级:
高危
漏洞描述:
由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。
根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号CVE-2017-5753和CVE-2017-5715,而Spectre涉及CVE编号CVE-2017-5754。
具体攻击方式介绍如下:
- bounds check bypass (CVE-2017-5753)(https://spectreattack.com/spectre.pdf)
- branch target injection (CVE-2017-5715)(https://spectreattack.com/spectre.pdf)
- rogue data cache load (CVE-2017-5754)(https://meltdownattack.com/meltdown.pdf)
漏洞影响范围:
该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。
漏洞风险:
从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。
漏洞修复建议(或缓解措施):
- 云平台修复
阿里云已经启动了云平台底层基础架构的漏洞修复更新,会根据批次依次修复,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。
阿里云官方公告-2018.01.04:https://help.aliyun.com/noticelist/articleid/20700730.html
-
租户修复
-
本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。
跟踪状态如下(2018年1月5日更新):
注意:云服务器提供的操作系统发行版本详见ECS 实例操作系统选择说明。 -
由于当前大多数厂商还未发布补丁,阿里云建议您按照安全最佳实践做好安全加固和防护措施,防止被攻击者利用;
-
目前发现Linux系统执行修补后可能造成一定程度的性能影响。该漏洞只能通过本地提权操作才能获取获取敏感信息,为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞。修补前请做好业务验证及必要的数据备份。
-
情报来源:
- Google披露攻击细节:https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html?m=1&from=groupmessage&isappinstalled=0
- US CERT公告: https://www.us-cert.gov/ncas/current-activity/2017/11/21/Intel-Firmware-Vulnerability
- Intel官方公告:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
- 漏洞简要分析:https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
- 完整详细分析:https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
2018年1月5日上午9:00更新如下: