新闻中心

浪潮云:芯片级安全漏洞修复公告

发布时间 :2018-01-09

尊敬的浪潮云用户,您好!

       近日Intel等被爆出芯片级重大安全漏洞,影响过去10年内绝大多数CPU型号,漏洞被利用后可以导致内核信息泄露、权限提升。目前部分系统已有升级方案可解决此漏洞,请您及时升级修复。

       
修复方案
       1
、浪潮云平台修复情况
       1
 虚拟化平台修复
       
修复前的准备工作正在积极进行中,详细情况请关注官方公告。
       2
 线上镜像修复情况
       
 Windows  2008 R2:未更新
       
 Windows  2012 R2:未更新
       
 CentOS :部分更新
       
 Ubuntu:未更新
       
 Debian:未更新

       2
、存量用户修复方法
       
注:此次内核更新可能会造成性能下降,请提前做好业务验证、数据备份、快照等工作,防止发生意外,该漏洞只能通过低权限用户本地操作才能获取系统信息,请根据自身业务情况决定是否进行升级。
       1
windows
       
 此次漏洞的微软补丁需手工下载,下载地址如下:
       Windows Server 2008 R2 
补丁下载地址:
       https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
       Windows Server  2012 R2  
补丁下载地址:
       https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
       
注:这两个更新包与系统和某些反病毒软件存在一定的兼容性问题,请充分了解风险后再决定是否安装:
       https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897
       https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898
        本次微软还发布了其他安全补丁,请通过windows update下载更新。
        缓解措施见官方指导:
      https://support.microsoft.com/zh-cn/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution


       2
CentOS
       
注:更新的内核软件包会以潜在性能损失为代价,请根据自身业务情况充分考虑其风险,再决定是否升级:
       https://access.redhat.com/articles/3307751


       
Centos 6  UCloud 2.6.32版本内核 
       
本方法适用于CentOS 6.2/6.3/6.4/6.5

查询当前内核版本 uname -r

重建grub软连接

rm /etc/grub.conf

ln -s /boot/grub/grub.conf /etc/grub.conf

编辑kernel.repo—————–

/etc/yum.repos.d/新建kernel.repo文件并加入以下内容

针对CentOS 6.46.5

[kernel]

name=kernel Repository

baseurl=http://ucloud.mirror.ucloud.cn/centos/$version/$basearch

gpgcheck=0

enabled=1

其中Centos 6.4/6.5$version = 6.5CentOS 6.2/6.3$version = 6.2

系统会自动识别$basearch

清理缓存

输入以下命令

yum clean all

yum makecache

编辑yum.conf

/etc/yum.conf中,注释:exclude kernel* centos-release*

获取内核版本列表

yum list --showduplicates | grep kernel

升级到指定内核版本

例如升级到2.6.32-696.18.7.1.el6.ucloud

yum -y install *2.6.32-696.18.7.1.el6.ucloud*
       
 重启设备:reboot
       
 uname -a 查看版本>=2.6.32-696.18.7.1.el6.ucloud


       
Centos 6&7 官方版本内核】
       
 sed -i s/^exclude=kernel/#exclude=kernel/ /etc/yum.conf
       
 yum update kernel
       
 重启系统: reboot
       
 uname -a 查看版本如下,代表升级成功
       CentOS 6 : >=2.6.32-696.18.7.el6
       CentOS 7: >=3.10.0-693.11.6.el7


       
Centos 6&7  UCloud 4.1版本内核】
       
暂未发布


        3
Ubuntu
       
暂未发布


       4
Debian
       
暂未发布


       5
redhat
       
注:更新的内核软件包会以潜在性能损失为代价,请根据自身业务情况充分考虑其风险,再决定是否升级:
       https://access.redhat.com/articles/3307751
       
 执行命令升级内核:yum update kernel
       
 重启系统 reboot
       
 检查版本 uname -a为以下版本,代表升级成功:
       rhel 6 : kernel >= 2.6.32-696.18.7.el6
       rhel 7 : kernel >= 3.10.0-693.11.6.el7


       6
SUSE Linux Enterprise Server
       
 使用root账号权限执行更新命令:zypper refresh && zypper patch
       
 重启系统


       7
gentoo
       
暂未发布

       
漏洞详情
       
芯片级安全漏洞主要由“崩溃 Meltdown(CVE-2017-5754) 和“幽灵 Spectre (CVE-2017-5753  CVE-2017-5715)组成。利用Meltdown漏洞,低权限用户可以访问内核的内容,获取本地操作系统底层的信息,当用户通过浏览器访问了包含Spectre恶意利用程序的网站时,用户的个人敏感信息可能会被泄漏,在云服务场景中,利用Spectre可以突破用户间的隔离,窃取其他用户的数据。

       
参考链接
       
技术详解:https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
       
微软官方公告:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
       Intel
官方公告:https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
       
幽灵漏洞:https://spectreattack.com/
       
崩溃漏洞:https://meltdownattack.com

注意:以上升级建议在业务低谷期进行,避免由于系统升级对业务带来影响!

 


浪潮云服务团队
2018-01-09