欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 5880|回复: 18

[安全通知] 关于Intel处理器存在芯片级漏洞可导致内存信息泄漏漏洞

[复制链接]

179

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
26930
威望
11383
发表于 2018-1-3 19:57:22 |显示全部楼层
尊敬的腾讯云客户:
   您好,近日腾讯云安全中心监测到安全事件Intel处理器存在严重芯片级漏洞可导致本地敏感信息泄漏,黑客可利用该漏洞进行内核信息探测,获取敏感信息。到目前为止,尚未发现有攻击程序流出,但是不排除近期会有攻击程序出现的可能。目前Intel,微软,Linux 社区都在积极提供解决方案。基于腾讯云与Intel企业级的合作关系,双方密切合作已于1月10日开始进行热升级修复截止1月17日下午完成虚拟化平台的全部修复工作请您放心使用

【漏洞详情】
   Intel、AMD、ARM等处理器存在芯片级漏洞,该漏洞系硬件设计导致。
  目前主要存在如下三种利用方法:
  变种 3:rogue data cache load (CVE-2017-5754,代号:meltdown)

【漏洞影响】
  此漏洞利用成功会导致低权限应用访问到任意内存区域,包括内核内存。内核内存可能存在敏感信息,导致信息泄露。
  腾讯云团队对该漏洞的几种利用情况进行了分析:
  变种 1: bounds check bypass (CVE-2017-5753)
  1)腾讯云虚拟化平台不受影响,攻击者无法通过该漏洞获取母机数据。
  2)客户子机内核可能存在影响,依赖内核版本,低权限应用可能访问到部分内核数据,但应用难度比较高。

  变种 2: branch target injection (CVE-2017-5715)
  1)腾讯云虚拟化平台可能存在影响,攻击者可能通过该漏洞获取母机数据,但应用难度很高,获取敏感数据的可能性极低。考虑到修复过程中客户业务的稳定性,且截止目前暂未发现针对该漏洞的有效攻击行为,腾讯云于1月10日凌晨开始通过热升级方式对虚拟化平台底层进行修复,修复过程中对客户业务没有影响,截止1月17日下午已完成虚拟化平台云平台的全部修复工作  
  2)客户子机内核可能存在影响,依赖内核版本,低权限应用可能访问到部分内核数据,但应用难度比较高。

  变种 3: rogue data cache load (CVE-2017-5754)
  1)腾讯云虚拟化平台不受影响,攻击者无法通过该漏洞获取母机数据。
  2)客户子机内核存在影响,低权限应用可能访问到内核数据,比如操作系统普通用户可以获取管理员数据,风险较高,Intel CPU存在该问题,AMD CPU不存在该问题。

【风险等级】
   高风险

【漏洞风险】
   攻击者可利用该漏洞可以越权获取本地敏感信息,比如操作系统普通用户可以获取管理员数据。

【修复建议】
【温馨提示】:该修复方案仅适用于腾讯公有云环境,黑石环境暂不适用,请知悉。
  变种 2: branch target injection (CVE-2017-5715)修复建议
  腾讯云已于1月10日凌晨开始通过热升级方式对虚拟化平台底层进行修复,修复过程中对客户业务没有影响,17号全网发布完成。

  变种 1: bounds check bypass (CVE-2017-5753)及  变种 3: rogue data cache load (CVE-2017-5754)修复建议:
  各操作系统厂商已经陆续发布相应补丁,腾讯云安全团队第一时间针对各操作系统补丁发布及修复情况进行了汇总整理,详细列表如下:
发行版
版本
是否
受影响
厂商补
丁状态
厂商官方安全通告
补丁更新参考
Windows
Windows Server 2008 R2
已发布
注意:安装补丁前,建议做好相关测试工作及数据备份工作,避免出现意外情况
1)在“开始“命令框输入”Windows Update”,点击“检查更新”,根据业务实际情况下载相应安全补丁进行安装,安装完成重启服务器生效,并检查业务运行情况。
2)手工下载补丁安装修复漏洞:
Windows Server 2008 R2 x64 SP1 补丁下载地址
Windows Server 2012 R2补丁下载地址
Windows Server 2016补丁下载地址
补丁安装完成后,重启服务器生效。
Windows Server 2012 R
2
已发布
Windows Server 2016
已发布
CentOS
6.X系列
已发布
注意:安装补丁前,建议做好相关测试工作及数据备份工作,避免出现意外情况
1) 1)打开命令行窗口,执行如下命令进行修复:
a) yum clean all && yum makecache,更新软件源;
b) yum update kernel  -y,更新当前内核版本;
c) reboot,重启生效;
d) uname -r,查看系统内核版本号。
  若您的系统版本为CentOS 6系列,
更新后检查当前版本是否大于或等于:kernel-2.6.32-696.18.7,如果是,则说明修复成功。
  若您的系统版本为CentOS 7系列,
更新后检查当前版本是否大于或等于:kernel-3.10.0-693.11.6,如果是,则说明修复成功
7.X系列
已发布
Ubuntu
12.04 LTS
已发布
请关注腾讯云公告,发布后会更新公告内容。官方公告
官方针对“熔断漏洞”和“幽灵漏洞”的更新公告

注意:安装补丁前,建议做好相关测试工作及数据备份工作,避免出现意外情况
2) 打开命令行窗口,执行如下命令进行修复:
a) sudo apt-get update && sudo apt-get install linux-image-generic,进行系统更新;
b)sudo reboot,更新后重启系统生效;
c)uname -r,查看系统内核版本号.
若您的系统版本为Ubuntu 12.04 LTS系列,更新后检查当前版本是否大于或等于:3.2.0-132.178,如果是,则说明修复成功。  
若您的系统版本为Ubuntu 14.04 LTS系列,更新后检查当前版本是否大于或等于:3.13.0-141.190,如果是,则说明修复成功。
若您的系统版本为Ubuntu 16.04 LTS系列,更新后检查当前版本是否大于或等于:4.4.0-112.135,如果是,则说明修复成功。
14.04 LTS
已发布
16.04 LTS
已发布
Debian
7(wheezy)
部分发布
注意:安装补丁前,建议做好相关测试工作及数据备份工作,避免出现意外情况
1)在命令行窗口以root权限运行如下命令执行更新:
apt-get update&&apt-get upgrade
2)重启系统生效。
8(jessie)
部分发布
9(stretch)
部分发布
SUSE Linux Enterprise Server
11 SP3/SP4
已发布
“熔断漏洞”公告说明
“幽灵漏洞”公告说明:

需要购买官方企业版订阅
注意:安装补丁前,建议做好相关测试工作及数据备份工作,避免出现意外情况
1)在命令行窗口以root权限运行如下命令执行更新:zypper refresh && zypper patch
2)更新结束后,重启系统生效;
3)验证相应组件是否更新到如下版本:
SUSE 11 SP3 :
kernel-default >= 3.0.101-0.47.106.14.1
microcode_ctl >= 1.17-102.83.6.1
SUSE 12:
kernel-default >= >= 3.12.61-52.111.1
kernel-firmware >= 20140807git-5.3.1
ucode-intel >= 20180108-13.11.1
12 SP1/SP2/SP3
已发布
OpenSUSE
13.2
停止维护
13.2版本官方当前已停止支持,您可以升级到42.2和42.3进行更新。
CoreOS
717.3.0
已发布
需手工更新,点击此处指引操作;
注意:安装补丁前,建议做好相关测试工作及数据备份工作,避免出现意外情况
检查系统版本,将系统更新到如下版本:
Alpha 1649.0.0
Beta 1632.1.0
Stable 1576.5.0
FreeBSD
10.1
暂未发布
腾讯云官网已经更新最新软件源,如果您需要进行补丁修复,参照以上操作建议即可。

【注意事项】
1)更新操作系统内核补丁前,建议用户开展操作系统补丁更新评估,以保障修复的全面性
2)由于操作系统的内核补丁更新可能会造成一定程度的性能下降,而漏洞本身只能通过权限提升获取内核敏感信息,无法被直接远程利用,为确保业务的稳定性,请用户结合实际业务情况决定是否需要开展漏洞升级操作,若需修复,建议提前做好业务验证和备份工作

【漏洞参考】



2017/1/3

5

主题

39

好友

2万

积分

超级版主

军哥

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

云币
16013
威望
20830
发表于 2018-1-3 23:52:18 |显示全部楼层
这个就有些厉害了
回复

使用道具 举报

0

主题

0

好友

305

积分

程序猿[LV2]

Rank: 2Rank: 2

云币
1085
威望
305
发表于 2018-1-5 18:19:52 |显示全部楼层
该漏洞只能通过本地获取敏感信息   什么意思 不是很明白
回复

使用道具 举报

0

主题

0

好友

305

积分

程序猿[LV2]

Rank: 2Rank: 2

云币
1085
威望
305
发表于 2018-1-5 18:28:07 |显示全部楼层
win2012 补丁下载地址: https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898  中间少了个8
回复

使用道具 举报

179

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
26930
威望
11383
发表于 2018-1-9 19:35:58 |显示全部楼层
FX168财经集团 发表于 2018-1-5 18:19
该漏洞只能通过本地获取敏感信息   什么意思 不是很明白

您好,这个意思是不能执行恶意代码,但是普通程序可以获取原来受保护的内核态数据,所以可能会造成信息泄露的情况。
回复

使用道具 举报

0

主题

0

好友

80

积分

小白[LV1]

Rank: 1

云币
370
威望
80
发表于 2018-1-10 10:07:35 |显示全部楼层
小编,交个朋友呗,咱们俩可以互通有无,From HZ
回复

使用道具 举报

0

主题

0

好友

50

积分

小白[LV1]

Rank: 1

云币
190
威望
50
发表于 2018-1-10 21:35:30 |显示全部楼层
腾讯云将于1月10日凌晨开始通过热升级方式对虚拟化平台底层进行修复

请问具体是升级什么? 内核热升级吗? 还是什么手段?
回复

使用道具 举报

0

主题

0

好友

105

积分

小白[LV1]

Rank: 1

云币
315
威望
105
发表于 2018-1-11 10:39:55 |显示全部楼层
xiandan 发表于 2018-1-10 21:35
请问具体是升级什么? 内核热升级吗? 还是什么手段?

虚拟化平台的升级,比如KVM这类云虚拟化平台
回复

使用道具 举报

0

主题

0

好友

60

积分

小白[LV1]

Rank: 1

云币
240
威望
60
发表于 2018-1-11 16:56:07 |显示全部楼层
将centos7的内核升级到3.10.0-693.11.6就可以了?
kernel-3.10.0-693.11.6的发布时间是在2017年8月,那个时间centos就已经修复了该漏洞了吗?
回复

使用道具 举报

0

主题

0

好友

20

积分

小白[LV1]

Rank: 1

云币
70
威望
20
发表于 2018-1-15 11:43:42 |显示全部楼层
墨水 发表于 2018-1-11 16:56
将centos7的内核升级到3.10.0-693.11.6就可以了?
kernel-3.10.0-693.11.6的发布时间是在2017年8月,那个时 ...

兄弟,我看到的不是这种情况啊
http://mirror.centos.org/centos/7/updates/x86_64/Packages/
这里发布时间可是2018年1月哦,版本没问题

回复

使用道具 举报

0

主题

0

好友

60

积分

小白[LV1]

Rank: 1

云币
240
威望
60
发表于 2018-1-17 15:05:07 |显示全部楼层
会飞的猪~~ 发表于 2018-1-15 11:43
兄弟,我看到的不是这种情况啊
http://mirror.centos.org/centos/7/updates/x86_64/Packages/
这里发布时 ...

..............
回复

使用道具 举报

2

主题

0

好友

270

积分

小白[LV1]

Rank: 1

云币
693
威望
270
发表于 2018-1-17 15:52:18 |显示全部楼层
升级就放心了,呵呵
回复

使用道具 举报

0

主题

0

好友

40

积分

小白[LV1]

Rank: 1

云币
170
威望
40
发表于 2018-1-21 21:22:01 |显示全部楼层
哈哈哈,这是硬件漏洞,从本质上讲是无法从软件上修补的
回复

使用道具 举报

3

主题

1

好友

1933

积分

攻城师[LV3]

Rank: 3Rank: 3Rank: 3

云币
7387
威望
1933
发表于 2018-1-23 17:08:11 |显示全部楼层
走进你的全世界 发表于 2018-1-21 21:22
哈哈哈,这是硬件漏洞,从本质上讲是无法从软件上修补的

本质是硬件设计漏洞,不过可以通过intel官方的微代码进行更新修复
回复

使用道具 举报

0

主题

0

好友

160

积分

小白[LV1]

Rank: 1

云币
490
威望
160
发表于 2018-1-26 11:34:15 |显示全部楼层
走进你的全世界 发表于 2018-1-21 21:22
哈哈哈,这是硬件漏洞,从本质上讲是无法从软件上修补的

可以从系统层面修复,系统也是软件
回复

使用道具 举报

0

主题

0

好友

30

积分

小白[LV1]

Rank: 1

云币
120
威望
30
发表于 2018-1-28 21:37:39 来自手机 |显示全部楼层
这个是你要设置的。
回复

使用道具 举报

0

主题

0

好友

80

积分

小白[LV1]

Rank: 1

云币
310
威望
80
发表于 2018-1-29 18:49:41 |显示全部楼层
今天29日了,请问是需要大家自己手动安装吗?
QQ截图20180129184736.png
回复

使用道具 举报

0

主题

0

好友

230

积分

小白[LV1]

Rank: 1

云币
770
威望
230
发表于 2018-1-30 00:12:55 |显示全部楼层
cyksjoy.com 发表于 2018-1-29 18:49
今天29日了,请问是需要大家自己手动安装吗?

yum update升级后要重启
回复

使用道具 举报

0

主题

0

好友

80

积分

小白[LV1]

Rank: 1

云币
310
威望
80
发表于 2018-1-31 09:24:45 |显示全部楼层
2016102613NI88M 发表于 2018-1-30 00:12
yum update升级后要重启

首先感谢你的回答。我理解为,还是要手动升级。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-2-19 10:04 , Processed in 1.228913 second(s), 33 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部