尊敬的用户,您好!
近日Intel,AMD、ARM等被爆出芯片级重大安全漏洞(官方命名为Meltown和Spectre),影响过去近20年内绝大多数CPU型号,漏洞被利用后可以导致内核信息泄露、权限提升;漏洞波及范围广,包括Intel CPU以及Windows、Linux、Mac OS系统都受到影响。通过漏洞,第三方程序可以获得极端重要的内核内存中的数据,目前部分系统已有升级方案可解决此漏洞,请您及时升级修复。
一、 修复方案
1、互盟云平台修复情况
1) 虚拟化平台修复
修复前的准备工作正在积极进行中,详细情况请关注互盟云官方公告。
2) 线上镜像修复情况
Ø Windows 2003:未更新
Ø Windows 2008 R2:未更新
Ø Windows 2012 R2:未更新
Ø CentOS:部分更新
Ø Ubuntu:未更新
二、现有用户修复方法
由于这次漏洞是CPU架构设计的问题,目前Linux、Windows已经以系统更新的方式解决这个问题(KB4056892更新),但同时CPU性能会因此下降5%到30%,请提前做好业务验证、数据备份、快照等工作,防止发生意外,该漏洞只能通过低权限用户本地操作才能获取系统信息,请根据自身业务情况决定是否进行升级。
1) windows
Ø 此次漏洞的微软补丁需手工下载,下载地址如下:
Windows Server 2008 R2补丁下载地址: https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
Windows Server 2012 R2 补丁下载地址:https://www.catalog.update.microsoft.com/Search.aspx?q=4056898
注:这两个更新包与系统和某些反病毒软件存在一定的兼容性问题,请充分了解风险后再决定是否安装:
https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897
https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898
Ø 本次微软还发布了其他安全补丁,请通过windows update下载更新。
2)CentOS
注:更新的内核软件包会以潜在性能损失为代价,请根据自身业务情况充分考虑其风险,再决定是否升级:https://access.redhat.com/articles/3307751
【Centos 6&7官方版本内核】
Ø sed -i s/^exclude=kernel/#exclude=kernel/ /etc/yum.conf
Ø yum update kernel
Ø 重启系统:reboot
Ø uname -a查看版本如下,代表升级成功
CentOS 6 : >=2.6.32-696.18.7.el6
CentOS 7: >=3.10.0-693.11.6.el7
3)Ubuntu
暂未发布
4)redhat
注:更新的内核软件包会以潜在性能损失为代价,请根据自身业务情况充分考虑其风险,再决定是否升级: https://access.redhat.com/articles/3307751
Ø 执行命令升级内核:yum update kernel
Ø 重启系统reboot
Ø 检查版本uname -a为以下版本,代表升级成功:
rhel 6 : kernel >= 2.6.32-696.18.7.el6
rhel 7 : kernel >= 3.10.0-693.11.6.el7
5)SUSE Linux Enterprise Server
Ø 使用root账号权限执行更新命令:zypper refresh && zypper patch
Ø 重启系统
6)gentoo
暂未发布
参考链接
技术详解:https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
微软官方公告:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Intel官方公告:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
幽灵漏洞:https://spectreattack.com/
崩溃漏洞:https://meltdownattack.com
互盟云官方团队
2018年1月9日
