安基网 首页 资讯 安全报 查看内容

Meltdown和Spectre漏洞,应对方案汇总

2018-1-10 11:26| 投稿: lofor |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,针对 Google公司的 公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞。这次的漏洞分别起名Meltdown(崩溃)和Spectre(幽灵)。这两个漏洞允许黑客窃取计算机的全部内存内容,包括 ...

近日,针对 Google公司的 公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞。这次的漏洞分别起名Meltdown(崩溃)和Spectre(幽灵)。这两个漏洞允许黑客窃取计算机的全部内存内容,包括移动设备、个人计算机、以及在所谓的云计算机网络中运行的服务器。

作为战斗第一线的救火队员,最近几天被两个漏洞折磨的头晕脑胀,为了更好的给客户提供服务,翻遍了中外网站大部份相关热文,现整理出下面10多类应急方案,与各位一线兄弟共勉,希望对大家有所帮助。

漏洞危害

对多租户下的云服务体系影响比较大,攻击者在云平台通过本地的普通的访问权限就可以读取云平台的敏感信息,为进一步获得更高的权限和获得机密数据提供了可能。

该漏洞的危害还在于攻击者可以通过该漏洞远程发起攻击,当目标设备访问远程服务器的网页时,攻击者可以通过恶意js脚本来获得目标设备上的敏感信息,如保存在内存中的密码Cookie等。

这些缺陷几乎影响到所有电脑和移动设备,但不一下是严重风险,目前还没有证据说明,黑客已经撑握利用这些缺陷的方法。

一些主流的杀毒软件程序与补丁程序不兼容,从而会导致台式或冬笔记本电脑停止响应并显示“蓝屏死机”。

杀毒软件厂商对此反馈修改其产品,更好的与更新后的操作系统兼容。微软近期在博客中称,只会向那些杀毒软件提供商已向其证实安全补丁不会导致客户电脑崩溃的Windows用户提供补丁更新,因此,Windows自动更新机制不会推送该补丁,如果用户需要应用相关补丁的话需做好充分的测试及回退措施。

Spectre没有简单的解决方案,可许要重新设计处理器;Meltdown解决这个问题所需要的软件补丁可能会使计算机运行速度下降30%。

处置建议

敏感数据和运算尽可能在独立的安全芯片上运行,使得普通权限的执行环境和高权限的执行环境从物理上隔离起来。

及时升级补丁,特别是公有云平台。由于云服务体系的庞大、复杂,云服务厂家应尽早地进行漏洞修补,避免关键数据和隐私的泄露、登陆凭证被窃取导致连锁攻击等次生灾害。

目前基于软件补丁只是做了临时隔离,如TLB隔离等,但是未来将会有一些绕过技术会出现,更换硬件才是彻底修复这个问题的关键,以及针对此漏洞进行风险的安全评估。

2.1  INTEL

目前已经开始提供软件和固件更新以减轻这些漏洞。最终用户和系统管理员应该检查操作系统供应商和系统制造商,并尽快应用所有更新。

对于使用这些漏洞攻击安全的恶意软件,必须在系统上本地运行。英特尔强烈建议用户遵循良好的安全措施,以防范恶意软件,因为这也有助于防止可能的漏洞利用。

威胁环境不断演变。英特尔致力于打造产品的安全性和可靠性,并与安全研究人员和业内其他人士进行建设性的合作,以帮助保护用户的敏感信息。

2.2  AMD

下面的表格详细介绍了具体变体研究以及 AMD 的回复细节。

Google Project ZeroGPZ 技术详细
变体1 边界检查旁路 由软件/操作系统更新解决,由系统供应商和制造商提供。性能影响可以忽略不计。
变体2 分支目标注入 AMD体系结构的差异意味着这个变体的开发风险几乎为零。到目前为止,在 AMD处理器上还没证明对Variant 2 的漏洞。
变体3 恶意数据缓存加载 由于AMD体系结构的差异导致的AMD零漏洞。

2.3  ARM

以下已经确认产品受到这些漏洞的影响。

Processor 变体1 变体 2 变体3 变体3a
Cortex-R7 Yes* Yes* No No
Cortex-R8 Yes* Yes* No No
Cortex-A8 Yes (under review) Yes No No
Cortex-A9 Yes Yes No No
Cortex-A15 Yes (under review) Yes No Yes
Cortex-A17 Yes Yes No No
Cortex-A57 Yes Yes No Yes
Cortex-A72 Yes Yes No Yes
Cortex-A73 Yes Yes No No
Cortex-A75 Yes Yes Yes No

由于Cortex-R的常见使用模式是在非开放环境中,应用程序或进程受到严格控制,因此无法被利用。

应用Arm提供的所有内核补丁:

https://git.kernel.org/pub/scm/linux/kernel/git/arm64/linux.git/log/?h=kpti

2.4  华为

以下已经确认产品受到这些漏洞的影响。

BH621 V2 DH626 V2 XH310 V3 2488 V5
RH2268 V2 CH222 CH220 V3 9008
X6000 RH2488 V2 RH5885 V3 RH1288 V2
BH622 V2 DH628 V2 XH321 V3 XH320
RH2285 V2 CH240 CH222 V3 9016
DH310 V2 RH5885 V2 RH5885H V3 RH2265 V2
BH640 V2 XH310 V2 XH620 V3 XH620
RH2285H V2 CH242 CH225 V3 9032
DH320 V2 RH1288A V2 5288 V3 FusionServer G5500
CH121 XH311 V2 XH622 V3 2488 V5
RH2288 V2 CH121 V3 CH226 V3 XH321 V5
DH321 V2 RH2288A V2 RH8100 V3 CH242 V5
CH140 XH320 V2 XH628 V3 XH621 V2
RH2288E V2 CH121L V3 CH242 V3 CH140L V3
DH620 V2 RH1288 V3 1288H V5 CH221
CH220 XH321 V2 X6000 V3 RH2485 V2
RH2288H V2 CH140 V3 CH121 V5  
DH621 V2 RH2288 V3 2288H V5  

软件版本和修复情况

产品名称 受影响的版本 已解决的产品和版本
CH121 V3 V100R001C00SPC250之前的版本 V100R001C00SPC250 [1]
CH121L V3 版本在V100R001C00SPC150之前 V100R001C00SPC150 [1]
CH140 V3 V100R001C00SPC170之前的版本 V100R001C00SPC170 [1]
CH140L V3 版本在V100R001C00SPC150之前 V100R001C00SPC150 [1]
CH220 V3 V100R001C00SPC250之前的版本 V100R001C00SPC250 [1]
CH222 V3 V100R001C00SPC250之前的版本 V100R001C00SPC250 [1]
CH225 V3 版本在V100R001C00SPC150之前 V100R001C00SPC150 [1]
CH226 V3 V100R001C00SPC170之前的版本 V100R001C00SPC170 [1]
1288H V5 V100R005C00SPC107之前的版本 V100R005C00SPC107 [2]
2288H V5 V100R005C00SPC107之前的版本 V100R005C00SPC107 [2]

注意:

[1]将BIOS升级至V382版本,将iBMC升级至V268版本。除了这两个组件外,还需要升级操作系统供应商提供的操作系统补丁。

[2]将BIOS升级至V055版本,将iBMC升级至V270版本。除了这两个组件外,还需要升级操作系统供应商提供的操作系统补丁。 

2.5  IBM

针对 Power Systems 客户端完全缓解此漏洞涉及将修补程序安装到系统固件和操作系统。固件修补程序为此漏洞提供了部分修复,并且是操作系统修补程序有效的先决条件。这些将可用如下:

POWER7 +,POWER8和POWER9平台的固件补丁在1 月9 日发布,将在 POWER7 + 之前提供有关支持的代的进一步通信,包括固件补丁和可用性。

Linux操作系统补丁程序于 1 月 9 日开始提供。AIX 和 i 操作系统补丁程序将于 2 月 12 日开始提供。信息将通过 PSIRT提供。

建议客户应该在数据中心环境和标准评估实践的环境中审查这些补丁,以确定是否应该应用这些补丁。目前已确认IBM存储设备不受此漏洞的影响。

2.6  Cisco

已经确认以下产品受到这些漏洞的影响。

产品 思科Bug ID 固定版本可用性
路由和交换企业和服务提供商
思科800工业集成多业务路由器 CSCvh31418
统一计算
思科UCS B系列M2 刀片服务器 CSCvh31576 修复挂起
思科UCS B系列M3 刀片服务器 CSCvg97965 18-FEB-2018
Cisco UCS B系列M4刀片服务器(

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新