全校各单位及校园网用户:
2018年1月4日,国家信息安全漏洞共享平台(CNVD)收录了CPU处理器内核的Meltdown漏洞(CNVD-2018-00303,对应CVE-2017-5754)和Spectre漏洞(CNVD-2018-00302和CNVD-2018-00304,对应CVE-2017-5715和CVE-2017-5753)。利用上述漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。
鉴于此漏洞可能造成的危害和影响较大,请全校各单位及校园网用户及时堵塞漏洞,消除安全隐患,提高安全防范能力,发现系统遭攻击情况后及时报告。
联系邮箱info@ouc.edu.cn,联系电话66782163、66782325。
一、漏洞情况分析
现代的计算机处理器芯片通常使用“推测执行”(speculative execution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露。CNVD对该漏洞的综合评级为“高危”。具体如下:
1)Meltdown漏洞的利用破坏了用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。
2)Spectre漏洞的利用破坏了不同应用程序之间的安全隔离,允许攻击者借助于无错程序(error-free)来获取敏感信息。
二、漏洞影响范围
该漏洞存在于英特尔(Intel)x86-64的硬件中,在1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。
同时使用上述处理器芯片的操作系统(Windows、Linux、Mac OS、Android)和云计算平台也受此漏洞影响。
三、处置措施
“Meltdown”和“Spectre”漏洞修复流程相对复杂,可能会有部分软件不兼容问题(如杀毒软件等)。具体评估和修复工作,可以参考相关厂商的安全公告。需要注意的是,Linux和Windows需大幅改动、重新设计内核,才能解决这个芯片级的安全漏洞,且引入的这些更新会大幅降低英特尔产品的性能,具体的影响程度相关部门仍在评估中,估计整体性能会出现5%~30%的下降,具体数值与实际的任务及处理器型号有关。最新的Intel产品包含一些功能特性(如PCID),一定程度上可以缓解这种性能损耗,但也存在差异。此外,各单位更新补丁前请做好备份,并做好充分测试及回退措施。
目前,操作系统厂商已经发布补丁更新,如Linux, Apple和Android,微软也已发布补丁更新。建议用户及时下载补丁进行更新,参考链接:
Microsoft微软:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Android:
https://source.android.com/security/bulletin/2018-01-01
Amazon:
https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
ARM:
https://developer.arm.com/support/security-update
Intel:
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
Red Hat:
https://access.redhat.com/security/vulnerabilities/speculativeexecution
Nvidia:
https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/
Xen:
https://xenbits.xen.org/xsa/advisory-254.html
VMware:
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
AMD:
https://www.amd.com/en/corporate/speculative-execution
引用自:
CNVD国家信息安全漏洞共享平台
http://www.cnvd.org.cn/webinfo/show/4353
网络与信息中心
2018年01月05日
