欢迎访问来到第一主机,开始互联网之旅!
第一主机发布最新CPU漏洞修复方案


建议企业/用户务必在充分了解相关风险的基础上,作好相关修复评估工作:
1. "Meltdown"和"Spectre"漏洞修复流程相对复杂,部分平台上暂时没有统一的修复工具;
2. 芯片厂商(如:Intel)的微码固件补丁需要通过所在硬件OEM厂商获取(如:Dell,联想等);
3. 可能会有部分软件不兼容问题(如Windows平台下的部分杀毒软件等);
4. 在云平台或特定应用场景中可能造成较大幅度的性能损失,升级前请充分了解相关信息;
具体评估和修复工作,可以参考以下建议和相关厂商的安全公告:
Intel的缓解建议
Intel已经和产业界联合,包括其它处理器厂商和软件厂商开发者,来缓解之前提到的三种攻击类型。缓解策略主要聚焦在适配市面产品和部分在研产品。缓解除了解决漏洞本身之外,还需要兼顾到性能影响,实施复杂度等方面。
启用处理器已有的安全特性(如 Supervisor-Mode Execution Protection 和 Execute Disable Bit )可以有效提高攻击门槛。相关信息可以参阅Intel的相关资料。

Intel一直在与操作系统厂商,虚拟化厂商,其它相关软件开发者进行合作,协同缓解这些攻击。作为我们的常规研发流程,Intel会积极保证处理器的性能。 来源:https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Intel-Analysis-of-Speculative-Execution-Side-Channels.pdf
PC终端用户
PC终端用户,建议用户根据各个平台进行如下对应操作:
微软Windows
修复步骤如下:
1. 更新对应的浏览器,缓解"Spectre"漏洞攻击;
2. 更新芯片厂商的微码补丁
3. 更新Windows补丁
用户可直接下载360安全卫士CPU漏洞免疫工具进行更新:http://down.360safe.com/cpuleak_scan.exe
注意:根据微软提供的信息,依然存在部分软件不兼容(如杀毒软件)的风险,请充分了解风险后再选择是否更新:
https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
苹果OSX
苹果在Mac OSX High Sierra 10.13.2 及更高版本修复了Meltdown和Spectre漏洞,请直接升级。
Android & iOS
苹果在iOS 11.2.2及更高版本修复了Spectre漏洞;
Android产品将于近期更新,尽请留意。
IDC/云系统管理员
目前部分IDC/云基础架构厂商已经提供了初步解决方案,但是由于补丁带来的风险和性能损耗暂时没有明确,权威的结论。
请系统管理员尽量做到:
1. 积极联系相关的上游了解相关的风险和解决方案,协同制定解决方案;
2. 需要重点关注补丁带来风险和性能损耗评估;
3. 从宏观和微观层面,制定完善,可行的修复和测试流程方案;
4. 涉及到的微码固件补丁请联系硬件OEM厂商,协同修复,测试,评估;
以下是相关厂商提供的解决方案:
Linux-Redhat/CentOS发行版
Redhat提供了一份产品的修复状态清单,建议用户参照该清单进行更新。具体用户可以参考:
· https://access.redhat.com/security/vulnerabilities/speculativeexecution
· https://access.redhat.com/articles/3311301#page-table-isolation-pti-6
鉴于更新完补丁后,在部分应用场景下会造成性能下降,RedHat方面提供了运行时的解决方案:
· https://access.redhat.com/articles/3311301#page-table-isolation-pti-6
用户可以通过以下命令临时关闭或部分KPTI,Indirect Branch Restricted Speculation (ibrs),Indirect Branch Prediction Barriers (ibpb) 等安全特性。
# echo 0 > /sys/kernel/debug/x86/pti_enabled
# echo 0 > /sys/kernel/debug/x86/ibpb_enabled
# echo 0 > /sys/kernel/debug/x86/ibrs_enabled
该特性需要使用debugfs 文件系统被挂在,RHEL 7默认开启了。 在RHEL 6中可以通过以下命令开启:
# mount -t debugfs nodev /sys/kernel/debug
用户可以通过以下命令查看当前安全特性的开启状态:
# cat /sys/kernel/debug/x86/pti_enabled
# cat /sys/kernel/debug/x86/ibpb_enabled
# cat /sys/kernel/debug/x86/ibrs_enabled
Intel芯片在修复后默认如下:
pti 1 ibrs 1 ibpb 1 -> fix variant#1 #2 #3
pti 1 ibrs 0 ibpb 0 -> fix variant#1 #3 (for older Intel systems with no microcode update available)
Intel芯片在修复后默认如下:
pti 0 ibrs 0 ibpb 2 -> fix variant #1 #2 if the microcode update is applied
pti 0 ibrs 2 ibpb 1 -> fix variant #1 #2 on older processors that can disable indirect branch prediction without microcode updates
在没有微码固件补丁升级的情况下:
# cat /sys/kernel/debug/x86/pti_enabled
# cat /sys/kernel/debug/x86/ibpb_enabled
# cat /sys/kernel/debug/x86/ibrs_enabled
注:Redhat等厂商并不直接提供芯片厂商的微码,需要用户到相关的硬件OEM厂商进行咨询获取。
Linux-Ubuntu发行版
目前Ubuntu只完成对Meltdown(CVE-2017-5754)漏洞在 x86_64 平台上的更新。
请关注Ubuntu的更新链接:
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Linux-Debian发行版
目前Debian完成了Meltdown(CVE-2017-5754)漏洞的修复。
关于 CVE-2017-5715 和 CVE-2017-5753 请关注Debian的更新链接:
https://security-tracker.debian.org/tracker/CVE-2017-5753
https://security-tracker.debian.org/tracker/CVE-2017-5715
微软Windows Server
建议用户开启系统自动更新功能,进行补丁补丁安装。
根据微软提供的信息,依然存在部分软件不兼容(如杀毒软件)的风险,请充分了解风险后再选择是否更新。
更多信息请查看:
https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
Xen虚拟化
目前Xen团队针对Meltdown,Spectre漏洞的修复工作依然在进行中,请关注Xen的更新链接:
http://xenbits.xen.org/xsa/advisory-254.html
目前Xen暂时没有性能损耗方面的明确评估,请谨慎更新。
QEMU-KVM虚拟化
QEMU官方建议通过更新guest和host操作系统的补丁来修复Meltdown漏洞,并表示Meltdown漏洞不会造成guest到host的信息窃取。
针对Spectre的变种CVE-2017-5715,QEMU方面正在等待KVM更新后再修复,目前KVM在进行相关补丁整合。需要注意的是,热迁移不能解决CVE-2017-5715漏洞,KVM需要把cpu的新特性expose到guest内核使用,所以guest需要重启。

相关信息请查阅:
https://www.qemu.org/2018/01/04/spectre/
https://marc.info/?l=kvm&m=151543506500957&w=2
云平台租户
360CERT建议云平台用户,
1. 关注所在云厂商的安全公告,配合相关云厂商做好漏洞补丁修复工作;
2. 充分了解和注意补丁带来的风险和性能损耗方面的指标;
3. 更新前可以考虑使用相关快照或备份功能;
0x04 FAQ 常见问题
1. 问题: Meltdown和Spectre漏洞具体技术影响。 比如利用这两个漏洞发动攻击是否容易,什么条件下触发,危害多大?
回答: Meltdown和Spectre漏洞在一定的条件下都可以触发,例如通过本地环境,浏览器环境,
Xen/QEMU-KVM中恶意租户Guset的场景来触发和攻击,虽然目前尚未发现公开的攻击代码,但能够对用户造成帐号, 密码, 内容, 邮箱, cookie等隐私信息泄露潜在危害。从以往情况看,在漏洞暴露后一定时间内,就可能出现可利用的攻击代码。对此,我们需要保持高度警惕。
Meltdown漏洞主要作用于本地环境,可用于越权读内核内存。Spectre由于不会触发trap,可以用于浏览器攻击,以及虚拟机guest/host攻击,及其它存在代码注入(如即时编译JIT)程序的潜在攻击。具体技术情况需如下:
2. 问题:当前对漏洞的处置情况到底怎么样了,业界解决情况如何,有没有比较完善的解决方案。目前能解决到什么程度,怎么才能彻底解决?
回答:目前大部分的个人终端操作系统(如Windows, MacOS, iOS, Android)都可以通过直接的渠道进行更新解决,其中Windows平台存在部分杀毒软件不兼容风险。针对IDC或云厂商相关的系统管理员,除了还需要再继续评估补丁的兼容性风险外,更需要再进一步评估补丁可能带来的较大幅度的性能损耗,目前芯片厂商也在积极和大型IDC,云服务提供商协同制定更完善的解决方案。
360CERT建议该怎么解决,后续该怎么做?
回答:360CERT建议,一方面,PC/手机的个人用户可以直接通过操作系统厂商或第三方安全厂商提供的补丁来解决。另一方面,针对补丁给企业带来修复难题,大型IDC/企业/云厂商,芯片厂商,操作系统厂商,信息安全公司要协同起来,在补丁方案,补丁风险评估,补丁导致的性能损耗评估,综合补丁标准方案,一体化补丁等方面形成合力,在保证业务稳定的情况下逐步或分阶段推进补丁的修复工作。
0x05 时间线
2018-01-04 Google的Jann Horn发布漏洞信息

2018-01-04 360安全团队发布预警通告
2018-01-09 360安全团队发布简要修复指南
0x06 相关厂商公告
· Intel
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/ https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Intel-Analysis-of-Speculative-Execution-Side-Channels.pdf
· Microsoft
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
· 联想
https://support.lenovo.com/us/zh/solutions/len-18282
· 华为
http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180106-01-cpu-en
· Amazon
https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
· ARM
https://developer.arm.com/support/security-update
· Google
https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
https://www.chromium.org/Home/chromium-security/ssca
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
· MITRE
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5754
· Red Hat
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://access.redhat.com/articles/3311301#page-table-isolation-pti-6
· Apple
https://support.apple.com/en-us/HT208394
· Xen
http://xenbits.xen.org/xsa/advisory-254.html
· Mozilla
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
· VMware
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
· AMD
https://www.amd.com/en/corporate/speculative-execution
· SuSe
https://www.suse.com/support/kb/doc/?id=7022512
· Ubuntu
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
· QEMU-KVM
https://marc.info/?l=kvm&m=151543506500957&w=2
https://www.qemu.org/2018/01/04/spectre/
· 漏洞报告
https://meltdownattack.com/meltdown.pdf
https://spectreattack.com/spectre.pdf
https://googleprojectzero.blogspot.co.uk/2018/01/reading-privileged-memory-with-side.html
· 360
http://down.360safe.com/cpuleak_scan.exe
郑州易方科贸有限公司
2018.1.13