【重要通知】阿里云关于Intel处理器Meltdown和Spectre安全漏洞处理持续更新公告

2018年1月8日

关于公告还在不断更新中。已邀请专家就相关技术与方案进行分享。为汇聚更多内容,帮用户详细了解,社区特别制作专题:
Intel处理器Meltdown、Spectre安全漏洞事件跟踪

2018年1月10日

针对客户操作系统层的漏洞,已经发布补丁更新的操作系统情况更新如下:
Ubuntu和Debain发布CVE-2017-5754补丁
Ubuntu和Debain的修复方式更新

2018年1月11日

针对云平台底层基础架构的漏洞:
为保障用户业务稳定,我们会细化修复批次,降低修复密度,因此最后一批次预计完成时间调整至1月19日,修复完成后我们会第一时间更新本公告。


2018年1月6日更新如下:

1、针对云平台底层基础架构的漏洞:阿里云基于SGX技术的商业化产品已经完成修复。

2、针对客户操作系统层的漏洞,已经发布补丁更新的操作系统情况更新如下:

       Debian 9(部分漏洞已更新)

       SUSE Linux Enterprise Server 12 sp3





2018年1月5日下午16:17更新如下:

【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告


北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全漏洞,该漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。

具体详情如下:

漏洞编号:

CVE-2017-5753

CVE-2017-5715

CVE-2017-5754

漏洞名称:

Intel处理器存在严重芯片级漏洞

官方评级:

高危

漏洞描述:

由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。

根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号CVE-2017-5753和CVE-2017-5715,而Spectre涉及CVE编号CVE-2017-5754。

具体攻击方式介绍如下:

漏洞影响范围:

该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。

漏洞风险:

从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。

漏洞修复建议(或缓解措施):

  • 云平台修复

阿里云已经启动了云平台底层基础架构的漏洞修复更新,会根据批次依次修复,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。

阿里云官方公告-2018.01.04:https://help.aliyun.com/noticelist/articleid/20700730.html

  • 租户修复

    1. 本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。

      跟踪状态如下(2018年1月5日更新):

      【重要通知】阿里云关于Intel处理器Meltdown和Spectre安全漏洞处理持续更新公告

      注意:云服务器提供的操作系统发行版本详见ECS 实例操作系统选择说明
    2. 由于当前大多数厂商还未发布补丁,阿里云建议您按照安全最佳实践做好安全加固和防护措施,防止被攻击者利用;

    3. 目前发现Linux系统执行修补后可能造成一定程度的性能影响。该漏洞只能通过本地提权操作才能获取获取敏感信息,为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞。修补前请做好业务验证及必要的数据备份。

情报来源:





2018年1月5日上午9:00更新如下:


近日,Intel处理器被爆出严重安全隐患,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。截至此公告发布,没有监测到针对此漏洞的攻击程序。


解决该安全隐患的完整修复方案包含两个部分,一是云平台虚拟化宿主机修复,二是客户侧的操作系统更新。目前,阿里云已经启动了云平台底层基础架构的漏洞修复工作,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。


由于此隐患涉及过去10年间Intel的绝大部分CPU型号,已知有部分场景下不支持热升级方案。与之相关的客户我们会另行提前通知,请确保预留的联系方式(手机、邮箱)畅通。我们建议客户根据业务情况,提前调整和准备运营预案,妥善备份重要业务数据。


在云平台底层基础架构的漏洞修复工作完成后,我们建议客户进行操作系统的补丁更新,以确保完整的安全性。阿里云正积极联合Intel、微软以及Linux各发行版本厂商验证操作系统更新方案,最新进展将会第一时间更新。


随着技术验证和修复工作的推进,本公告将持续更新,建议用户持续关注公告内容。有任何问题,可随时通过工单或服务电话95187联系反馈。


上一篇:Jenkins 应用三十六计-插件信息[转载]


下一篇:为你解读数据中心的内部电源