BLSA-2018:0005 – [重要] linux-firmware的安全警告及修复方法



  • BLSA-2018:0005 – [重要] linux-firmware的安全警告及修复方法

    问题描述

           最近,Intel CPU 被披露存在一个严重的芯片级安全漏洞,这个漏洞几乎影响了现在所有正在使用的 CPU 型号,影响范围广泛而深远。攻击者可以利用该漏洞从普通程序入口获取推测到本该受到保护的内核内存区域的内容和布局,可以从数据库或者浏览器的 JavaScript 程序获取用户的内存信息。
           关于这个漏洞,有三个变种,其中一个变种是branch target injection (CVE-2017-5715),基于这个变种的攻击方式为:Spectre (幽灵)。BCLinux系统提供的linux-firmware更新包提供了修复该漏洞的修复补丁。鉴于该漏洞影响范围广、破坏力强,为了增加系统安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    幽灵 Spectre简介
    攻击会影响到台式、笔记本和云设备以及智能手机等。所有能够 “让多条指令处在in flight 状态” 的处理器都会受到影响,在 Intel、AMD 和ARM处理器上都验证了 Spectre 攻击。当前,Spectre 只影响到了用户级的进程。但是将来可能会有更加严重的影响。

    影响范围

    该漏洞存在于英特尔(Intel)x86_64的硬件中,1995年以后生产的Intel处理器芯片都可能受到影响,同时AMD,Qualcomm,ARM处理器也受影响。

    影响版本

    • BigCloud Enterprise Linux 7.3
    • Red Hat Enterprise Linux 7.3
    • CentOS Linux 7.3

    详细介绍

    安全更新

    • CVE-2017-5715 [重要]
      变体CVE-2017-5715通过污染分支目标注册触发预测执行。该漏洞依赖于特权代码中精确定义的指令序列,以及内存的越界访问。因此,非特权攻击者可以利用这个漏洞,跨越系统调用边界和访客/主机边界,并通过执行有针对性的缓存旁路攻击来读取特权内存信息。

    解决方案

    目前,BCLinux 的官方源已经提供 linux-firmware 的更新软件包,受影响的 BCLinux 7.3 客户端用户需要升级到 20160830-50.git7534e19.el7_3 版本。

    注:
    此次漏洞修复,可能对Linux系统造成一定程度的性能影响。为了保证业务的稳定性,请用户根据自身业务情况决定是否升级修复漏洞。

    1. 检查YUM源设置,确保使用的是 BCLinux 官方YUM源
    [root@BCLinux7_3 ~]# ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  969 Mar 13  2017 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1509 Mar  8  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  673 Mar  8  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1218 Mar  8  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Mar  8  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  811 Mar  8  2017 BigCloud.repo
    
    1. 安装更新
    [root@BCLinux7_3 ~]# yum downgrade linux-firmware-20160830-50.git7534e19.el7_3
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package linux-firmware.noarch 0:20160830-50.git7534e19.el7_3 will be a downgrade
    ---> Package linux-firmware.noarch 0:20161205-69.git91ddce49.el7.bclinux will be erased
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                           Arch                      Version                                          Repository                  Size
    ===============================================================================================================================================
    Downgrading:
     linux-firmware                    noarch                    20160830-50.git7534e19.el7_3                     updates                     31 M
    
    Transaction Summary
    ===============================================================================================================================================
    Downgrade  1 Package
    
    Total download size: 31 M
    Is this ok [y/d/N]: y
    
    1. 复查
    [root@BCLinux7_3 ~]# rpm -q linux-firmware
    linux-firmware-20160830-50.git7534e19.el7_3.noarch
    
    1. 重启机器

    安装升级包以后,重启机器,更新生效。

    外部链接

    1.BCLinux安全更新