关于处理器 Meltdown和Spectre漏洞的公告0426

2019-08-09 16:01:55 6

一、漏洞概述

  2018年1月3日,安全研究者披露了代号"Meltdown"(CVE编号:CVE-2017-5754)和"Spectre"(CVE编号:CVE-2017-5753 和 CVE-2017-5715)两组因CPU底层设计缺陷而导致的信息泄露漏洞,攻击者利用该漏洞可以越权读取其他进程或者操作系统内核的内存信息。

  正在与芯片和操作系统厂商紧密合作加紧进行相关分析及修复工作。会根据进展情况随时更新此安全公告,请持续关注。

  二、建议的修复方案

  针对漏洞CVE-2017-5754(Rogue data cache load),需要进行操作系统补丁升级;

  针对漏洞CVE-2017-5753(Bounds check bypass),需要进行操作系统补丁升级;

  针对漏洞CVE-2017-5715(Branch target injection),除了需要进行操作系统补丁升级之外,还需要进行CPU Micro Code升级。

  三、操作系统补丁获取及升级

  操作系统补丁方面,目前MicroSoft、RedHat、SUSE、Vmware等各主流操作系统提供商正在陆续发布,建议按照操作系统提供商安全建议及升级链接中的标准做法实施操作系统补丁升级,如下:

  1.  Microsoft安全更新建议

  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

  2.  RedHat安全更新建议

  https://access.redhat.com/security/vulnerabilities/speculativeexecution

  3. Vmware安全更新建议

  https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

  4.  Suse 安全更新建议

  https://www.suse.com/support/kb/doc/?id=7022512

  四、CPU MicroCode获取及升级

  提供如下两种CPU MicroCode升级方案。

  方案1:下载OS微码更新工具包 microcode_update_V1.2_20180302.zip,在对应OS下执行热升级操作。此方案通用性、易操作性、稳定性强,不需重启OS即可实时生效,推荐客户优选此方案进行CPU微码升级。

  此升级包支持采用下述CPU型号的所有产品CPU微码升级:

  Intel Xeon E5 V3 V4系列处理器

  Intel Xeon E7 V3 系列处理器

  Intel Xeon Scalable系列处理器

  此升级包支持下述OS环境执行升级操作:

RedHat Enterprise Linux 6.x/7.x

MicroSoft Windows Server 2012/2016

SUSE Linux Enterprise Server 11.2/11.3

Vmware 5.5/6.0/6.5

  方案2:下载对应产品型号的BIOS修复版本,执行升级BIOS操作,重启系统后生效。受影响产品及对应修复版本见下表(此列表支持的机型以及处理器型号会根据内部进展情况持续更新)。

  注:【1】搭配使用的BMC有最低版本要求,如果目前设备上BMC版本过低,请在安排BIOS升级的同时,对BMC进行升级。


微信服务

首页
产品中心
公司介绍
联系我们