尊敬的金山云用戶:
您好! 外界安全研究人員發(fā)現(xiàn)Intel CPU存在嚴(yán)重安全漏洞���,問題覆蓋過去10年內(nèi)Intel絕大部分CPU型號(hào)�。一旦漏洞被利用,同一物理空間內(nèi)將存在提權(quán)風(fēng)險(xiǎn)���,導(dǎo)致敏感信息泄露���。根據(jù)金山云掌握的威脅情報(bào),目前還未出現(xiàn)漏洞被利用的公開案例�����。金山云已與我們的戰(zhàn)略級(jí)合作伙伴Intel同步此漏洞修補(bǔ)的技術(shù)方案����,部分操作系統(tǒng)已更新補(bǔ)丁���,現(xiàn)將最新進(jìn)展通知用戶。
【修復(fù)方案】
本次漏洞修復(fù)分為兩個(gè)部分:一是云平臺(tái)及虛擬化系統(tǒng)修復(fù)�,二是用戶使用的操作系統(tǒng)更新���。
云平臺(tái)系統(tǒng)修復(fù):
金山云將于初定的2018年1月12號(hào)0:00開始將分批次批量對(duì)云平臺(tái)及虛擬化系統(tǒng)進(jìn)行熱修復(fù),以修復(fù)此次漏洞帶來的隱患���;在修復(fù)過程中�,不會(huì)對(duì)用戶的業(yè)務(wù)造成中斷;升級(jí)完成后�,部分特殊業(yè)務(wù)根據(jù)情況可能會(huì)存在小幅度的性能下降��。
用戶的操作系統(tǒng)更新:
截止該公告發(fā)布之前���,針對(duì)金山云用戶使用的Windows操作系統(tǒng)和Linux系統(tǒng)的補(bǔ)丁狀態(tài)整理如下:
操作系統(tǒng) 版本號(hào) 需要修復(fù) 補(bǔ)丁狀態(tài) 更新方法 補(bǔ)丁鏈接地址
Windows系統(tǒng) 2008 是 已發(fā)布 手動(dòng)更新 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
Windows系統(tǒng) 2012 是 已發(fā)布 手動(dòng)更新 https://www.catalog.update.microsoft.com/Search.aspx?q=KB405698
CentOS 6.X 是 已發(fā)布 見下說明 https://access.redhat.com/errata/RHSA-2018:0008
CentOS 7.X 是 已發(fā)布 見下說明 https://access.redhat.com/errata/RHSA-2018:0007
Ubuntu 12.04 是 未發(fā)布 見下說明 https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
Ubuntu 14.04 是 已發(fā)布 見下說明 https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
Ubuntu 16.04 是 已發(fā)布 見下說明 https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
Debian 8.2 是 未發(fā)布完整 https://security-tracker.debian.org/tracker/source-package/linux
Fedora 20 是 未發(fā)布
【注意】由于操作系統(tǒng)的內(nèi)核補(bǔ)丁更新可能會(huì)使性能小幅度下降��,為了確保業(yè)務(wù)的穩(wěn)定性��,用戶可根據(jù)漏洞的危害和實(shí)際的業(yè)務(wù)情況決定是否進(jìn)行補(bǔ)丁更新,若需要進(jìn)行修復(fù)�,請(qǐng)?zhí)崆白龊脴I(yè)務(wù)驗(yàn)證和數(shù)據(jù)備份工作。
Windwos系列:
升級(jí)前請(qǐng)先閱讀微軟指導(dǎo)信息: https://support.microsoft.com/zh-cn/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
CentOS 6/7系列:
1) uname -a查看內(nèi)核版本��;
2) yum clean all && yum makecache��,更新軟件源;
3) yum update kernel -y,更新內(nèi)核版本;
4) reboot
5) 更新后��,檢查系統(tǒng)版本��,uname -r��,查看內(nèi)核版本號(hào)
CentOS 6系列�,如果是kernel-2.6.32-696.18.7����,則說明修復(fù)成功。
CentOS 7系列��,如果是kernel-3.10.0-693.11.6�,則說明修復(fù)成功�。
Ubuntu 14.04/16.04 LTS系列用戶
1) uname -a查看內(nèi)核版本�����;
2) sudo apt-get update && sudo apt-get install linux-image-generic�����,更新內(nèi)核版本;
3) sudo update-grub,修改默認(rèn)啟動(dòng)選項(xiàng)�;
4) sudo reboot�,更新后重啟系統(tǒng)生效;
5) uname -r���,查看系統(tǒng)內(nèi)核版本號(hào).
Ubuntu 14.04 LTS系列,顯示是3.13.0-139.188���,則說明修復(fù)成功。
Ubuntu 16.04 LTS系列����,顯示是4.4.0-109.132,則說明修復(fù)成功�。
【漏洞詳情】
(1)CVE-2017-5753
該漏洞主要是通過低特權(quán)級(jí)別的代碼��,調(diào)用高特權(quán)級(jí)別的代碼來實(shí)現(xiàn)攻擊�����;
使用分支預(yù)測(cè)指令�����,在分支預(yù)測(cè)中執(zhí)行特權(quán)級(jí)指令����,然后因?yàn)榫彺娴脑颍瑳]有恢復(fù)現(xiàn)場(chǎng)����,導(dǎo)致特權(quán)級(jí)指令的結(jié)果,可以被獲?�?����;
( 2 ) CVE-2017-5715
處理器內(nèi)部用于加速分支跳轉(zhuǎn)的內(nèi)部數(shù)據(jù),有特定的目標(biāo)預(yù)測(cè)算法�����,通過這個(gè)算法,攻擊者填入惡意的跳轉(zhuǎn)地址��;
因?yàn)檫@些惡意的跳轉(zhuǎn)地址��,最后會(huì)被廢棄���,但是緩存的數(shù)據(jù)依舊存在�����,利用這個(gè)方式可以獲取內(nèi)核地址的數(shù)據(jù)�;
( 3 ) CVE-2017-5754 (熔斷漏洞�,亂序執(zhí)行)
處理器在亂序執(zhí)行,沒有對(duì)跨特權(quán)的數(shù)據(jù)訪問進(jìn)行限制�;
當(dāng)用戶態(tài)程序訪問保護(hù)數(shù)據(jù)時(shí)��,在缺頁異常前�����,相應(yīng)的代碼還是會(huì)執(zhí)行�,導(dǎo)致緩存依舊會(huì)發(fā)生變化�,通過分析緩存得到相應(yīng)的內(nèi)核數(shù)據(jù);
【漏洞級(jí)別】
嚴(yán)重級(jí)別
金山云在完成云平臺(tái)的修復(fù)后����,將第一時(shí)間更新公告�,對(duì)于還未發(fā)布補(bǔ)丁的操作系統(tǒng)金山云會(huì)持續(xù)跟進(jìn)�����,一旦有新進(jìn)展,也將同步更新�����。
若在升級(jí)過程中給您帶來不便或您有任何疑問����,請(qǐng)及時(shí)撥打我們的7*24小時(shí)客服電話:400-028-9900��,或直接發(fā)送郵件至:ksyun_cs@kingsoft.com 與我們聯(lián)系��。