首頁 > 關于我們 > 新聞動態 > 公司新聞

Meltdown和Spectre漏洞安全通告及補丁大全

發布時間 2018-01-09
近日,Google的Project Zero團隊發表新聞稱,他們發現了Meltdown(熔斷,CVE-2017-5754)和Spectre(幽靈,CVE-2017-5753/CVE-2017-5715)兩個CPU級別的漏洞。相關漏洞利用了芯片硬件層面執行加速機制的設計缺陷實現側信道攻擊,可以間接通過CPU緩存讀取系統內存數據。此次被曝光的漏洞波及范圍廣,幾乎全球所有的計算設備都受影響,已經引起世界范圍內的廣泛關注。雖然當前尚未有利用這兩個漏洞進行攻擊的事件通報,啟明星辰天鏡漏洞研究團隊提醒廣大客戶防患于未然,及時修補漏洞。


Meltdown漏洞影響幾乎所有的Intel CPU和部分ARM CPU,而Spectre則影響所有的Intel CPU和AMD CPU,以及主流的ARM CPU。兩組漏洞影響的操作系統涵蓋目前幾乎所有計算設備。包括Windows,Android,MacOS ,IOS,Linux(Red hat/Debian/Ubuntu/Suse)等。為了安全起見,市面上所有的服務器、個人電腦、手機等都需要升級應對。但同時也要看到這個漏洞利用有一定的門檻,即使利用成功,也只能讓攻擊者竊取敏感數據,不能提權和控制主機。幽靈漏洞對多租戶下的云服務體系影響比較大,攻擊者在云平臺通過本地的普通的訪問權限就可以讀取云平臺的敏感信息,為進一步獲得更高的權限和獲得機密數據提供了可能。另外考慮到升級了CPU和操作系統之后伴隨的性能下降,不同用戶可以評估自己的情況來做出決定。建議個人用戶主要升級操作系統補丁及瀏覽器版本。


針對這兩組漏洞,各家芯片廠商,操作系統廠商,瀏覽器廠商,以及云服務廠商,都積極采取措施,發布安全公告,并及時推出緩解措施和修復補丁。鑒于此兩組漏洞影響面巨大,查找各個廠商的安全通告和產品補丁下載地址相當繁瑣,啟明星辰天鏡漏洞研究團隊特為您貼心整理相關信息如下:


(收集信息截至到2018年1月8日,各廠商將繼續推出安全更新和補丁信息,啟明星辰天鏡漏洞研究團隊會繼續保持密切關注,持續更新本文檔,廣大客戶可從啟明星辰官網獲取www.venustech.com.cn)




硬件




1. Intel


Intel已經確認1995年以后生產的所有處理器芯片中存在相關問題,將提供軟件和固件更新以解決這些漏洞。包括:




Intel的安全公告如下:


安全通告


https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr


https://newsroom.intel.com/news/intel-responds-to-security-research-findings/


https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/


https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html




2. AR


ARM確認大部分處理器不受漏洞影響,但給出了一個受影響的處理器列表。






1)安全通告


https://developer.arm.com/support/security-update/download-the-whitepaper


https://developer.arm.com/support/security-update


2)補丁鏈接


針對linux上的程序,ARM提供了新編譯器,可用新編譯器重新編譯。另外發布了Linux ARM內核補丁,用于修補漏洞:


https://git.kernel.org/pub/scm/linux/kernel/git/arm64/linux.git/log/?h=kpti




3. AMD


安全通告


AMD針對每個漏洞做了回復,第一個漏洞由軟件、操作系統廠商發布補丁解決,性能影響非常輕微,其他兩個漏洞由于AMD CPU特殊的架構,都不受影響。具體如下:


https://www.amd.com/en/corporate/speculative-execution




4. Nvidia


1)安全通告


Nvidia已經發布了安全通告,推薦有關的驅動程序或軟件包更新給予指導。公告如下:


https://www.nvidia.com/en-us/product-security/


2)補丁鏈接


具體的補丁鏈接如下:
 




 
操作系統




1. Windows


1)安全通告


微軟已經發布了安全通告,修復了IE、Edge、Windows內核中相關問題。
 
微軟安全通告:
https://support.microsoft.com/en-us/help/4073235/cloud-protections-speculative-execution-side-channel-vulnerabilities


2)Windows受影響產品包括:


1. Windows 10
2. Windows 8
3. Windows 8.1
4. Windows 7
5. Windows Vista
6. Windows XP
7. Windows Server 2003
8. Windows Server 2008
9. Windows Server 2012
10. Windows Server 2012 R2
 
3)補丁鏈接






 
2. Linux


Linux內核開發者Thomas Gleixner在2017年12月在Linux內核郵件列表中就新的KAISER隔離補丁發布了說明。目前有人懷疑這批補丁可能正是為了解決Linux系統當中的Metldown與Spectre 漏洞。具體如下:


https://lkml.org/lkml/2017/12/4/709




3. RedHat


1)安全通告


紅帽公司已經發布一項建議,其中列出受到影響的產品及其當前狀態。建議內容表明:對于正在運行受影響版本產品的紅帽客戶,強烈建議用戶盡快根據指導清單進行更新。所有受影響產品都應安裝修復補丁,借以緩解CVE-2017-5753 (變種1)與 CVE-2017-5754 (變種3)漏洞。CVE-2017-5715 (變種2)可通過本地以及虛擬訪客邊界兩種方式被加以利用。具體如下:


https://access.redhat.com/security/vulnerabilities/speculativeexecution


2)補丁鏈接












4. SUSE


1)安全通告


SUSE就SLE 與 openSUSE應對Meltdown 和 Spectre CPU漏洞發布聲明,SUSE Enterprise Linux(SLE)和OpenSuSE(Leap and Tumbleweed)也受到這些嚴重的硬件錯誤的影響,這些錯誤可能會使非特權的攻擊者利用惡意應用程序從內核內存中竊取敏感數據 。openSUSE Leap 42.2和openSUSE Leap 42.3用戶即將收到與SUSE Linux Enterprise 12相同的內核更新。另一方面,openSUSE開發人員目前正在將新補丁程序移植到openSUSE Tumbleweed回收站。


安全通告地址如下:


https://www.suse.com/support/kb/doc/?id=7022512
 
2)CVE-2017-5754補丁鏈接


https://www.suse.com/security/cve/CVE-2017-5754/











































4)CVE-2017-5753補丁鏈接


https://www.suse.com/security/cve/CVE-2017-5753/
 

























5)CVE-2017-5715補丁鏈接


https://www.suse.com/security/cve/CVE-2017-5715/
 




























4. Ubuntu


1)安全通告


https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown


2)補丁計劃


計劃1月9日發布內核補丁,版本號如下:






5. Fedora


安全更新


發布了安全更新,包含對CVE-2017-5754 (Meltdown)的修補,CVE-2017-5753和CVE-2017-5715(Spectre)的補丁后續會推出:


https://bodhi.fedoraproject.org/updates/kernel-4.14.11-300.fc27
 


6. Debian


1)安全更新


發布了安全更新,包含對CVE-2017-5754 (Meltdown)的修補,CVE-2017-5753和CVE-2017-5715(Spectre)的補丁后續會推出::


https://www.debian.org/security/2018/dsa-4078


https://security-tracker.debian.org/tracker/CVE-2017-5754
 
2)補丁包






7. macOS/IOS


安全更新


蘋果在12月6日發布的 macOS 10.13.2以及為舊系統推出的安全更新,已包含“Meltdown”漏洞修補。1月8日蘋果公司發布iOS 11.2.2正式版更新,主要修復了 Safari 瀏覽器的 Spectre 安全漏洞(CVE-2017-5753 and CVE-2017-5715):
 


8. VMware


1)安全通告


VMware已經發布了安全通告,推薦有關的驅動程序或軟件包更新給予指導。公告如下:


https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html


2)補丁鏈接


具體的補丁情況如下:






9. Xen


安全通告


Xen已經發布了安全通告,推薦有關的驅動程序或軟件包更新給予指導。公告如下:


https://xenbits.xen.org/xsa/advisory-254.html




10. Amonzon


安全通告


Amazon方面已經發布一項安全公告,指出:此項安全漏洞廣泛存在于過去20年推出的英特爾、AMD以及ARM等各類現代處理器架構當中,影響范圍涵蓋服務器、臺式機以及移動設備。Amazon EC2體系中除極少數實例外,其余皆受到嚴格保護。剩余部分的修復工作將在接下來數小時內完成,并附有相關實例維護通知。雖然AWS所執行的更新能夠切實保護底層基礎設施,但為了充分解決此次問題,客戶還應對實例中的操作系統進行修復。目前Amazon Linux更新已經開始發布,具體如下:


https://aws.amazon.com/security/security-bulletins/AWS-2018-013/




11. ChromeOS


安全通告


https://support.google.com/faqs/answer/7622138#chromeos
 


12. 安卓


安全通告


Android團隊于2018年1月更新了安全通告:CVE-2017-5715、CVE-2017-5753以及CVE-2017-5754為已經得到公開披露的一系列與處理器內推測執行相關的漏洞。Android尚未發現任何在基于ARM的Android設備之上重現上述漏洞以進行的未授權信息泄露行為。為了提供額外的保護措施,本公告當中包含的CVE-2017-13218更新減少了對高精度定時器的訪問,旨在限制旁路攻擊(例如CVE-2017-5715、CVE-2017-5753以及CVE-2017-5754)所有已知變種對ARM處理器的影響。具體如下:


https://source.android.com/security/bulletin/2018-01-01
 


應用




1. IE/Edge


1)安全通告


微軟安全通告:
https://support.microsoft.com/en-us/help/4073235/cloud-protections-speculative-execution-side-channel-vulnerabilities
 
2)補丁鏈接


Internet Explorer 9-11補丁號kb4056568,


下載地址:


http://www.catalog.update.microsoft.com/search.aspx?q=kb4056568
 
3)Edge補丁下載地址:


http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056893


http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056888


http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056890


http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056891


http://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
 


2. Mozilla


1)安全通告


Firefox 57.0.4修正版本修復了著名的兩個英特爾CPU漏洞帶來的安全性問題,推薦所有57版本用戶及時升級。公告如下:
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
 
2)補丁鏈接


補丁下載地址:


https://download-installer.cdn.mozilla.net/pub/firefox/releases/57.0.4/
 


3. Safari


安全更新


1月8日蘋果公司發布iOS 11.2.2正式版更新,主要修復了 Safari 瀏覽器的 Spectre 安全漏洞(CVE-2017-5753 and CVE-2017-5715),如需了解更新的安全性內容,請訪問此網站:


https://support.apple.com/zh-cn/HT201222
 


4. SQLserver


1)安全通告
微軟安全通告:
https://support.microsoft.com/en-us/help/4073235/cloud-protections-speculative-execution-side-channel-vulnerabilities


2)補丁鏈接:


SQL Server 2016 SP1補丁下載地址:


https://www.microsoft.com/en-us/download/details.aspx?id=54613
上一篇 下一篇