BLSA-2018:0003 – [重要] microcode_ctl的安全警告及修复方法


  • BCLinux Developers

    BLSA-2018:0003 – [重要] microcode_ctl的安全警告及修复方法

    问题描述

           最近,Intel CPU 被披露存在一个严重的芯片级安全漏洞,这个漏洞几乎影响了现在所有正在使用的 CPU 型号,影响范围广泛而深远。攻击者可以利用该漏洞从普通程序入口获取推测到本该受到保护的内核内存区域的内容和布局,可以从数据库或者浏览器的 JavaScript 程序获取用户的内存信息。
           关于这个漏洞,有三个变种,其中一个变种是branch target injection (CVE-2017-5715),基于这个变种的攻击方式为:Spectre (幽灵)。BCLinux系统提供的microcode_ctl更新包提供了修复该漏洞的修复补丁。鉴于该漏洞影响范围广、破坏力强,为了增加系统安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    幽灵 Spectre简介
    攻击会影响到台式、笔记本和云设备以及智能手机等。所有能够 “让多条指令处在in flight 状态” 的处理器都会受到影响,在 Intel、AMD 和ARM处理器上都验证了 Spectre 攻击。当前,Spectre 只影响到了用户级的进程。但是将来可能会有更加严重的影响。

    影响范围

    该漏洞存在于英特尔(Intel)x86_64的硬件中,1995年以后生产的Intel处理器芯片都可能受到影响,同时AMD,Qualcomm,ARM处理器也受影响。

    影响版本

    • BigCloud Enterprise Linux 7.2
    • Red Hat Enterprise Linux 7.2
    • CentOS Linux 7.2

    详细介绍

    安全更新

    • CVE-2017-5715 [重要]
      CVE-2017-5715通过分支目标注入(branch target injection)触发推测执行(speculative execution)。该漏洞依赖于特权代码中精确定义的指令序列,以及内存的越界访问。非特权攻击者可以利用这个漏洞,跨越系统调用边界和访客/主机边界,并通过执行有针对性的缓存旁路攻击来读取特权内存信息。

    解决方案

    目前,BCLinux 的官方源已经提供 microcode_ctl 的更新软件包,受影响的 BCLinux 7.2 客户端用户需要升级到 2.1-12.el7_2.2 版本。

    注:
    此次漏洞修复,可能对Linux系统造成一定程度的性能影响。为了保证业务的稳定性,请用户根据自身业务情况决定是否升级修复漏洞。

    1. 检查YUM源设置,确保使用的是 BCLinux 官方YUM源
    [root@BCLinux7_2 yum.repos.d]# ls -l /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    
    1. 安装更新
    [root@BCLinux7_2 ~]# yum --releasever 7.2 update microcode_ctl
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package microcode_ctl.x86_64 2:2.1-12.el7 will be updated
    ---> Package microcode_ctl.x86_64 2:2.1-12.el7_2.2 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                             Arch                         Version                                  Repository                     Size
    ===============================================================================================================================================
    Updating:
     microcode_ctl                       x86_64                       2:2.1-12.el7_2.2                         updates                       594 k
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade  1 Package
    
    Total download size: 594 k
    Is this ok [y/d/N]: y
    
    1. 复查
    [root@BCLinux7_2 ~]# rpm -q microcode_ctl
    microcode_ctl-2.1-12.el7_2.2.x86_64
    
    1. 重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待