良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

Intel CPU存在严重安全漏洞

外界安全研究人员发现Intel CPU存在严重安全漏洞,问题覆盖过去10年内Intel绝大部分CPU型号。一旦漏洞被利用,同一物理空间内将存在提权风险,导致敏感信息泄露。

升级需谨慎,会影响性能

用户操作系统更新:

 截止该公告发布之前,针对使用的Windows操作系统和Linux系统的补丁状态整理如下:

 邮件通知

 Windows 2008 —— https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897

 Windows 2012 —— https://www.catalog.update.microsoft.com/Search.aspx?q=KB405698

 CentOS 6.X —— https://access.redhat.com/errata/RHSA-2018:0008

 CentOS 7.X —— https://access.redhat.com/errata/RHSA-2018:0007

 Ubuntu 12.04/14.04/16.04 —— https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

 Debian 8.2 —— https://security-tracker.debian.org/tracker/source-package/linux

 

【注意】由于操作系统的内核补丁更新可能会使性能小幅度下降,为了确保业务的稳定性,用户可根据漏洞的危害和实际的业务情况决定是否进行补丁更新,若需要进行修复,请提前做好业务验证和数据备份工作

 

Windwos系列:

  升级前请先阅读微软指导信息: https://support.microsoft.com/zh-cn/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

CentOS 6/7系列:

1)    uname -a查看内核版本;

2)    yum clean all && yum makecache,更新软件源;

3)    yum update kernel  -y,更新内核版本;

4)    reboot

5)    更新后,检查系统版本,uname -r,查看内核版本号

CentOS 6系列,如果是kernel-2.6.32-696.18.7,则说明修复成功。

CentOS 7系列,如果是kernel-3.10.0-693.11.6,则说明修复成功。

 

Ubuntu 14.04/16.04 LTS系列用户

1)    uname -a查看内核版本;

2)    sudo apt-get update && sudo apt-get install linux-image-generic,更新内核版本;

3)    sudo update-grub,修改默认启动选项;

4)    sudo reboot,更新后重启系统生效;

5)    uname -r,查看系统内核版本号.

Ubuntu 14.04 LTS系列,显示是3.13.0-139.188,则说明修复成功。

Ubuntu 16.04 LTS系列,显示是4.4.0-109.132,则说明修复成功。

 

【漏洞详情】

(1)CVE-2017-5753

   该漏洞主要是通过低特权级别的代码,调用高特权级别的代码来实现攻击;

   使用分支预测指令,在分支预测中执行特权级指令,然后因为缓存的原因,没有恢复现场,导致特权级指令的结果,可以被获取;

(2)CVE-2017-5715

   处理器内部用于加速分支跳转的内部数据,有特定的目标预测算法,通过这个算法,攻击者填入恶意的跳转地址;

   因为这些恶意的跳转地址,最后会被废弃,但是缓存的数据依旧存在,利用这个方式可以获取内核地址的数据;

(3)CVE-2017-5754(熔断漏洞,乱序执行)

   处理器在乱序执行,没有对跨特权的数据访问进行限制;

   当用户态程序访问保护数据时,在缺页异常前,相应的代码还是会执行,导致缓存依旧会发生变化,通过分析缓存得到相应的内核数据;

 

【漏洞级别】

  严重级别



标签: Intel CPU存在严重安全漏洞

作者:良玉 分类:系统安全 浏览:460 评论:0
留言列表
发表评论
来宾的头像