2018年1月4日,国外研究机构披露了”Meltdown”(CVE-2017-5754)和”Spectre”(CVE-2017-5753& CVE-2017-5715)两组CPU特性漏洞,漏洞爆出后,研究人员也陆续发布各种检测POC,相关操作系统厂商以及浏览器支持厂商也陆续发布修复补丁,详情参照漏洞补丁更新章节
利用Meltdown漏洞,低权限用户可以访问内核的内容,获取本地操作系统底层的信息;当用户通过浏览器访问了包含Spectre恶意利用程序的网站时,用户的如帐号,密码,邮箱等个人隐私信息可能会被泄漏;在云服务场景中,利用Spectre可以突破用户间的隔离,窃取其他用户的数据。
一、漏洞补丁更新
2.1 Windows系统补丁更新
1月3日晚,微软发布了针对Meltdown和Specter的系统安全更新,企业或个人用户开启系统更新功能及时打全最新的安全补丁。
企业或个人用户可以选择自动更新或手动下载补丁进行更新,补丁下载地址见附录A。
自动更新:
在企业内网环境中,可以通过WSUS服务器连接到Microsoft Update来获取更新程序,并分发给企业网络中的客户端计算机实现批量更新。
个人用户可以进入“设置”-“更新与安全”,选择“检查更新”,安装补丁。部分兼容性上存在问题的用户则需要继续耐心等待几天。
手动更新:
根据以下版本与对应KB号,在微软安全建议https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 ,查到对应更新软件包并下载更新。
| 操作系统版本 | 对应KB号 |
| Windows 10 for 32-bit Systems | KB4056893 |
| Windows 10 for x64-based Systems | KB4056893 |
| Windows 10 Version 1511 for 32-bit Systems | KB4056888 |
| Windows 10 Version 1511 for x64-based Systems | KB4056888 |
| Windows 10 Version 1607 for 32-bit Systems | KB4056890 |
| Windows 10 Version 1607 for x64-based Systems | KB4056890 |
| Windows 10 Version 1703 for 32-bit Systems | KB4056891 |
| Windows 10 Version 1703 for x64-based Systems | KB4056891 |
| Windows 10 Version 1709 for 32-bit Systems | KB4056892 |
| Windows 10 Version 1709 for 64-based Systems | KB4056892 |
| Windows 7 for 32-bit Systems Service Pack 1(Monthly Rollup) | KB4056894 |
| Windows 7 for 32-bit Systems Service Pack 1(Security Only) | KB4056897 |
| Windows 7 for x64-based Systems Service Pack 1(Monthly Rollup) | KB4056894 |
| Windows 7 for x64-based Systems Service Pack 1(Security Only) | KB4056897 |
| Windows 8.1 for 32-bit systems | KB4056898 |
| Windows 8.1 for x64-based systems | KB4056898 |
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1(Monthly Rollup) | KB4056894 |
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1(Security Only) | KB4056897 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1(Monthly Rollup) | KB4056894 |
| Windows Server 2008 R2 for x64-based Systems Service Pack 1(Security Only) | KB4056897 |
| Windows Server 2012 R2 | KB4056898 |
| Windows Server 2016 | KB4056890 |
目前的系统补丁尚不能完整修复Meltdown和Spectre处理器漏洞,企业和用户可能需要额外的芯片组固件更新。如果笔记本电脑/台式机/服务器供应商提供了额外的芯片组固件更新,可以从官方站点获取,安装并完成修补程序。
2.2 Linux系统补丁更新
Linux Kernel
Linux 发布了内核补丁,版本包括 4.14.11、4.9.74、4.4.109、3.16.52、3.18.91 和 3.2.97,用户可以从 Kernel.org 上下载。
参考链接:
Red hat:
红帽公司已经发布通告,其中列出受到影响的产品及其当前状态。建议内容表明:对于正在运行受影响版本产品的红帽客户,强烈建议用户尽快根据指导清单进行更新。所有受影响产品都应安装修复补丁。
Ret Hat安全通告地址:https://access.redhat.com/security/vulnerabilities/speculativeexecution
受到Meltdown影响的产品名称
| Red Hat Enterprise Linux 7(已更新)
Red Hat Enterprise Linux 6(部分更新) Red Hat Enterprise Linux 5(待更新) RHEL Atomic Host(待更新) Red Hat Enterprise MRG 2 (已更新) |
受到Spectre影响的产品名称
| Red Hat Enterprise Linux 7 (已更新)
Red Hat Enterprise Linux 6 (部分更新) Red Hat Enterprise Linux 5 (待更新) RHEL Atomic Host (待更新) Red Hat Enterprise MRG 2(已更新) Red Hat Virtualization 3ELS、4(RHEV-H/RHV-H)(已更新) Red Hat OpenStack v6 (待更新) Red Hat OpenStack v7 (待更新) Red Hat OpenStack v8 (待更新) Red Hat OpenStack v9(待更新) Red Hat OpenStack v10 (待更新) Red Hat OpenStack v11 (待更新) Red Hat OpenStack v12 (待更新) |
CentOS:
CentOS团队近日面向64位(x86_64)CentOS 7在内的多个版本发布内核安全补丁,重点修复了日前爆发的Meltdown(熔断)和Spectre(幽灵)两个漏洞。CentOS 7基于Red Hat Enterprise Linux 7,本次发布的安全更新是在Red Hat近期发布的修复补丁上进行定制优化的。
目前存在问题的软件包括kernel-3.10.0-693.11.6.el7.x86_64.rpm, kernel-abi-whitelists-3.10.0-693.11.6.el7.noarch.rpm, kernel-debug-3.10.0-693.11.6.el7.x86_64.rpm, kernel-debug-devel-3.10.0-693.11.6.el7.x86_64.rpm, kernel-devel-3.10.0-693.11.6.el7.x86_64.rpm以及kernel-doc-3.10.0-693.11.6.el7.noarch.rpm。
此外kernel-headers-3.10.0-693.11.6.el7.x86_64.rpm, kernel-tools-3.10.0-693.11.6.el7.x86_64.rpm, kernel-tools-libs-3.10.0-693.11.6.el7.x86_64.rpm, kernel-tools-libs-devel-3.10.0-693.11.6.el7.x86_64.rpm, perf-3.10.0-693.11.6.el7.x86_64.rpm和 python-perf-3.10.0-693.11.6.el7.x86_64.rpm也需要更新。
参考链接:
CentOS 6 kernel Security Update
https://lists.centos.org/pipermail/centos-announce/2018-January/022701.html
CentOS 7 kernel Security Update
https://lists.centos.org/pipermail/centos-announce/2018-January/022696.html
Debian:
已针对Meltdown漏洞提供更新。
参考链接:https://security-tracker.debian.org/tracker/CVE-2017-5754
Ubuntu:
Ubuntu安全团队的Dustin Kirkland表示新款补丁已经过了两个多月的测试,包括Ubuntu 12.04 ESM (Extended Security Maintenance), Ubuntu 14.04 LTS, Ubuntu 16.04 LTS和Ubuntu 17.10在内所有尚处于支持状态的Ubuntu发行版本都会在近期获得更新。
参考链接:https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
Suse:
将为所有企业版SUSE Linux(SLE)提供Meltdown与Spectre补丁更新,根据官方描述,Suse也将提供AMD 与 Intel处理器微程序包的固件与QEMU / KVM更新更新。
目前已提供更新的SLE版本如下:
| SLES 12 SP3
SLES 12 SP2 SLES 12 SP1-LTSS SLES 12-LTSS SLES 11 SP4 SLES 11 SP3-LTSS SUSE CaaS Platform |
参考链接:https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
Fedora:
已针对Fedora Linux操作系统(含Fedora26、Fedora27版本)与Rawhide (内核 4.15最终测试版本)提供更新补丁包 ,以降低遭到Meltdown攻击的危害。
参考链接:https://fedoramagazine.org/protect-fedora-system-meltdown/
2.3 芯片组固件更新
Intel 方面在1月4号发布了新通告表示,将保证 90%的 CPU(近5年的)固件更新会在下周结束前全部放出。目前他们已经在和其他合作伙伴进行这些 CPU 更新。初始设备制造商和其他硬件供应商需要将这些固件更新包含在自己的产品更新中。除此之外,该公司重申,固件更新不会造成显著的性能下降,并承诺会随着时间的推移对这些补丁进行测试和优化,以进一步减轻对性能的影响。
三、Windows系统补丁检测
Windows用户可以使用Powershell来检查是否安装了正确的更新程序,或是否需要额外的固件更新。用户在启动PowerShell时,须确保是以管理员权限启动的,以便安装所需的模块。使用下面的Powershell命令,将下载并安装Powershell模块,用于测试Meltdown和Specter的缺陷。
| Install-Module SpeculationControl |
如果用户运行该命令返回的是错误,则可以运行以下命令:
| Set-ExecutionPolicy Allsigned |
然后,用户可以运行第二条命令:
| Get-SpeculationControlSettings |
在运行这些命令后看到很多红色的文字,那么可以确认该用户的CPU处在威胁之中,如下图。
如检测模块无法执行,可能只有与操作权限的原因导致,开启权限语句:
| reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f |
在更新补丁后,次运行Get-SpeculationControlSettings操作。然后 有两种可能的情况。
常见的情况是以下结果:
如图所示表明 Meltdown补丁已经成功,但是Spectre漏洞(CVE-2017-5715)修复不完整。红色的文字内容是指改名用户还是需要额外的芯片组固件更新。如果用户的笔记本电脑/台式机/服务器供应商提供了额外的芯片组固件更新,他们可以从官方站点获取,安装并完成修补程序。
如果一切正常,所有检查将以绿色文本显示,如下所示:
当输出全部为绿色,每个设置都是True时,说明已在Windows系统级别修复了Meltdown和Spectre漏洞。
附录A Windows补丁和对应下载列表
附录B RedHat补丁详细信息
| 产品名称 | 安装包名称 | 安全建议 | 补丁信息 |
| Red Hat Enterprise Linux 7 | kernel | RHSA-2018:0007 | https://access.redhat.com/errata/RHSA-2018:0007 |
| Red Hat Enterprise Linux 7 | kernel-rt | RHSA-2018:0016 | https://access.redhat.com/errata/RHSA-2018:0016 |
| Red Hat Enterprise Linux 7 | libvirt | RHSA-2018:0029 | https://access.redhat.com/errata/RHSA-2018:0029 |
| Red Hat Enterprise Linux 7 | qemu-kvm | RHSA-2018:0023 | https://access.redhat.com/errata/RHSA-2018:0023 |
| Red Hat Enterprise Linux 7 | dracut | RHBA-2018:0042 | https://access.redhat.com/errata/RHBA-2018:0042 |
| Red Hat Enterprise Linux 7.3 Extended Update Support** | kernel | RHSA-2018:0009 | https://access.redhat.com/errata/RHSA-2018:0009 |
| Red Hat Enterprise Linux 7.3 Extended Update Support** | libvirt | RHSA-2018:0031 | https://access.redhat.com/errata/RHSA-2018:0031 |
| Red Hat Enterprise Linux 7.3 Extended Update Support** | qemu-kvm | RHSA-2018:0027 | https://access.redhat.com/errata/RHSA-2018:0027 |
| Red Hat Enterprise Linux 7.3 Extended Update Support** | dracut | RHBA-2018:0043 | https://access.redhat.com/errata/RHBA-2018:0043 |
| Red Hat Enterprise Linux 7.2 Advanced Update Support***,**** | kernel | RHSA-2018:0010 | https://access.redhat.com/errata/RHSA-2018:0010 |
| Red Hat Enterprise Linux 7.2 Advanced Update Support***,**** | libvirt | RHSA-2018:0032 | https://access.redhat.com/errata/RHSA-2018:0032 |
| Red Hat Enterprise Linux 7.2 Advanced Update Support***,**** | qemu-kvm | RHSA-2018:0026 | https://access.redhat.com/errata/RHSA-2018:0026 |
| Red Hat Enterprise Linux 7.2 Advanced Update Support***,**** | dracut | 待更新 | – |
| Red Hat Enterprise Linux 6 | kernel | RHSA-2018:0008 | https://access.redhat.com/errata/RHSA-2018:0008 |
| Red Hat Enterprise Linux 6 | libvirt | RHSA-2018:0030 | https://access.redhat.com/errata/RHSA-2018:0030 |
| Red Hat Enterprise Linux 6 | qemu-kvm | RHSA-2018:0024 | https://access.redhat.com/errata/RHSA-2018:0024 |
| Red Hat Enterprise Linux 6.7 Extended Update Support** | kernel | RHSA-2018:0011 | https://access.redhat.com/errata/RHSA-2018:0011 |
| Red Hat Enterprise Linux 6.7 Extended Update Support** | libvirt | 待更新 | – |
| Red Hat Enterprise Linux 6.6 Advanced Update Support***,**** | qemu-kvm | 待更新 | – |
| Red Hat Enterprise Linux 6.5 Advanced Update Support*** | kernel | RHSA-2018:0022 | https://access.redhat.com/errata/RHSA-2018:0022 |
| Red Hat Enterprise Linux 6.5 Advanced Update Support*** | libvirt | 待更新 | – |
| Red Hat Enterprise Linux 6.5 Advanced Update Support*** | qemu-kvm | 待更新 | – |
| Red Hat Enterprise Linux 6.4 Advanced Update Support*** | kernel | RHSA-2018:0018 | https://access.redhat.com/errata/RHSA-2018:0018 |
| Red Hat Enterprise Linux 6.4 Advanced Update Support*** | libvirt | 待更新 | – |
| Red Hat Enterprise Linux 6.4 Advanced Update Support*** | qemu-kvm | 待更新 | – |
| Red Hat Enterprise Linux 6.2 Advanced Update Support*** | kernel | RHSA-2018:0020 | https://access.redhat.com/errata/RHSA-2018:0020 |
| Red Hat Enterprise Linux 6.2 Advanced Update Support*** | libvirt | 待更新 | – |
| Red Hat Enterprise Linux 6.2 Advanced Update Support*** | qemu-kvm | 待更新 | – |
| Red Hat Enterprise Linux 5 Extended Lifecycle Support* | kernel | 待更新 | – |
| Red Hat Enterprise Linux 5 Extended Lifecycle Support* | libvirt | 待更新 | – |
| Red Hat Enterprise Linux 5 Extended Lifecycle Support* | qemu-kvm | 待更新 | – |
| Red Hat Enterprise Linux 5.9 Advanced Update Support*** | kernel | 待更新 | – |
| Red Hat Enterprise Linux 5.9 Advanced Update Support*** | libvirt | 待更新 | – |
| Red Hat Enterprise Linux 5.9 Advanced Update Support*** | qemu-kvm | 待更新 | – |
| RHEL Atomic Host | kernel | Images respun on 5 January 2018 | – |
| Red Hat Enterprise MRG 2 | kernel-rt | RHSA-2018:0021 | https://access.redhat.com/errata/RHSA-2018:0021 |
| Red Hat Virtualization 4 (RHEV-H/RHV-H) | redhat-virtualization-host | RHSA-2018:0047 | https://access.redhat.com/errata/RHSA-2018:0047 |
| Red Hat Virtualization 4 (RHEV-H/RHV-H) | rhvm-appliance | RHSA-2018:0045 | https://access.redhat.com/errata/RHSA-2018:0045 |
| Red Hat Virtualization 4 (RHEV-H/RHV-H) | qemu-kvm-rhev | RHSA-2018:0025 | https://access.redhat.com/errata/RHSA-2018:0025 |
| Red Hat Virtualization 4 (RHEV-H/RHV-H) | vdsm | RHSA-2018:0050 | https://access.redhat.com/errata/RHSA-2018:0050 |
| Red Hat Virtualization 4 (RHEV-H/RHV-H) | ovirt-guest-agent-docker | RHSA-2018:0047 | https://access.redhat.com/errata/RHSA-2018:0047 |
| Red Hat Virtualization 4 (RHEV-H/RHV-H) | rhevm-setup-plugins | RHSA-2018:0051 | https://access.redhat.com/errata/RHSA-2018:0051 |
| Red Hat Virtualization 3 (RHEV-H/RHV-H) | redhat-virtualization-host | RHSA-2018:0044 | https://access.redhat.com/errata/RHSA-2018:0044 |
| Red Hat OpenStack Platform 8.0 (Liberty) | qemu-kvm-rhev | RHSA-2018:0056 | https://access.redhat.com/errata/RHSA-2018:0056 |
| Red Hat OpenStack Platform 8.0 (Liberty) | director images | 待更新 | – |
| Red Hat OpenStack Platform 9.0 (Mitaka) | qemu-kvm-rhev | RHSA-2018:0057 | https://access.redhat.com/errata/RHSA-2018:0057 |
| Red Hat OpenStack Platform 9.0 (Mitaka) | director images | 待更新 | – |
| Red Hat OpenStack Platform 10.0 (Newton) | qemu-kvm-rhev | RHSA-2018:0058 | https://access.redhat.com/errata/RHSA-2018:0058 |
| Red Hat OpenStack Platform 10.0 (Newton) | director images | 待更新 | – |
| Red Hat OpenStack Platform 11.0 (Ocata) | qemu-kvm-rhev | RHSA-2018:0059 | https://access.redhat.com/errata/RHSA-2018:0059 |
| Red Hat OpenStack Platform 11.0 (Ocata) | director images | 待更新 | – |
| Red Hat OpenStack Platform 12.0 (Pike) | qemu-kvm-rhev | RHSA-2018:0060 | https://access.redhat.com/errata/RHSA-2018:0060 |
| Red Hat OpenStack Platform 12.0 (Pike) | director images | 待更新 | – |
| Red Hat OpenStack Platform 12.0 (Pike) | containers | 待更新 | – |
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。