方德高可信服务器操作系统Meltdown和Spectre漏洞.PDFVIP

方德高可信服务器操作系统 Meltdown 和 Spectre 漏洞修复指南 导读：近日爆出的Intel CPU特性漏洞分为 “Meltdown”和“Spectre”两个部分， 有3个已知的CVEs与Intel、AMD和ARM架构相关。 “Meltdown”和“Spectre”漏 洞存在内存数据被非授权访问及恶意修改的潜在风险。漏洞会造成CPU 运作机制 上的信息泄露，导致低权限的攻击者可以通过漏洞来窃取内核内存中保存的敏感 信息。方德高可信服务器操作系统的漏洞修复解决方案如下，中科方德还会持续 跟进业界进展，向用户提供安全可靠解决方案。 漏洞描述： 针对 Intel CPU 处理器涉及到两种攻击方法，分别为 Meltdown 和 Spectre， Meltdown 涉及CVE 编号CVE-2017-5754，而Spectre 涉及CVE 编号CVE-2017-5753 和 CVE-2017-5715。 Meltdown 严重程度最高，它破坏了位于用户和操作系统之间的基本隔离，允 许程序访问内存，因此用户程序或操作系统的敏感信息可能会被窃取。这个漏洞 “熔化”了由硬件来实现的安全边界。允许低权限用户级别的应用程序 “越界” 访问系统级的内存，从而造成数据泄露。 Spectre 严重程度稍低，Spectre 攻击需要目标程序具有特殊结构，所以受 到目标软件的限制，如果目标程序不具有该特殊结构，那么 Spectre 攻击就很难 进行。但是相对于 Meltdown 攻击目前仅限于 Intel 处理器上，Spectre 攻击适 用于 Intel、AMD、ARM 等众多类型的处理器。这个问题由CPU 的分支预测执行 （speculative execution）引起，在分支指令执行时，由于分支指令执行可能 需要内存读取（上百个 CPU 周期），在分支指令执行结束之前，CPU 会预测哪一 个分支会被运行，提取相应的指令代码并执行，以提高 CPU 指令流水线的性能。 在此过程中，CPU 没有很好地将低权限的应用程序与访问内核内存分开，攻击者 可以使用恶意应用程序来获取应该被隔离的私有数据。 修复方案适用版本： 1 方德高可信服务器操作系统 V3.0 方德高可信服务器操作系统 V3.1 修复方案适用诊断： 在方德高可信服务器操作系统 V3.0/3.1 中,如何确认当前系统 kernel 及相关软 件包版本是否存在漏洞?可逐一使用如下命令分别察看系统中安装包的版本: rpm -q kernel rpm -q libvirt rpm -q microcode_ctl rpm -q qemu-kvm 如果上述命令查询结果的 rpm 包版本号出现如下任何情况之一,则表明存在系统 漏洞,需要及时更新相关包: kernel 版本低于 kernel-3.10.0-514.26.2.nfs.8 libvirt 版本低于 libvirt-3.2.0-14.nfs.7 qemu-kvm 版本低于 qemu-kvm-1.5.3-141.nfs.6 microcode_ctl 版本低于 microcode_ctl-2.1-22.5 修复方案使用方法： 步骤 1，获取系统已安装的 kernel、libvirt、qemu-kvm、microcode_ctl 这四 类相关软件包列表,可使用如下命令查询： rpm -qa | grep -E “^kernel |libvirt|qemu-kvm|microcode_ctl” 查询结果可能如下: 2 [root@localhost ~]# rpm -qa|grep -E ^kernel|libvirt|qemu-kvm|microcode_ctl libvirt-gobject-0.1.9-1.nfs.x86_64 libvirt-python-1.2.17-2.nfs.x86_64 qemu-kvm-tools-1.5.3-105.nfs.8.x86_64 kernel-tools-3.10.0-514.26.2.nfs.3.x86_64 libvirt-daemon-driver-nwfilter-1.2.17-13.nfs.5.x86_64 libvirt-daemon-dri