標籤:

如何保護伺服器免受 Meltdown 和 Spectre 漏洞的波及

01-29

簡評:漏洞 Meltdown(熔毀)因「融化」了硬體的安全邊界而得名,漏洞 Spectre(幽靈)因其手段的隱蔽性而得名。

Meltdown 和 Spectre 是什麼?

2018 年 1 月 4 日,現代 CPU 設計中的多個漏洞被披露(Meltdown 在 CVE-2017-5754,Spectre 在 CVE-2017-5753 和 CVE-2017-5715)。利用特定處理器的性能優化,這些漏洞使攻擊者可以在正確操作時強制應用程序泄露系統內存和應用程序內存。這些攻擊是有效的,因為處理器內的正常許可權檢查行為是通過諸如推測執行,分支預測,無序執行和緩存等特徵的交互而被破壞的。

我是否受影響?

Meltdown 和 Spectre 會影響大多數的現代處理器。在這些漏洞中使用的處理器優化是大多數 CPU 的核心設計特徵,這意味著大多數系統在打特定補丁之前是非常脆弱的,這包括台式電腦,伺服器和雲環境中運行計算實例。

以防止消融補丁正在從操作系統廠商發布。雖然也被發布了幽靈的更新,它代表一整類漏洞,所以它可能會需要更廣泛的持續整治。

操作系統發行商已經發布了針對 Meltdown 的補丁,雖然針對 Spectre 的更新也發布了,但它代表了整個類別的漏洞,因此可能需要更廣泛的持續補救。

在雲計算和虛擬化環境中,供應商則需要更新底層基礎架構,用戶將需要更新其伺服器,以減輕客戶操作系統內的影響。

我該如何保護自己?

針對此類漏洞提供全面的保護很可能需要對 CPU 的設計進行變更。在此期間,軟體更新可以通過禁用或解決一些導致這些漏洞的優化行為來緩解攻擊。

不巧的是,因為這些補丁會影響到處理器內部的優化程序,緩解補丁可能會降低伺服器的性能。性能降低的程度高度依賴於執行的工作類型,I/O 密集型進程的影響最大。

當前緩解補丁狀態

在寫作本文的時候(2018 年 1 月 9 日),Linux 發行版已經開始發布補丁,但尚未完全修復。

已經發布了包含緩解補丁的內核更新的發行版有:

  • CentOS 7: kernel 3.10.0-693.11.6
  • CentOS 6: kernel 2.6.32-696.18.7
  • Fedora 27: kernel 4.14.11-300
  • Fedora 26: kernel 4.14.11-200
  • Ubuntu 17.10: kernel 4.13.0-25-generic
  • Ubuntu 16.04: kernel 4.4.0-109-generic
  • Ubuntu 14.04: kernel 3.13.0-139-generic
  • Debian 9: kernel 4.9.0-5-amd64
  • Debian 8: kernel 3.16.0-5-amd64
  • Debian 7: kernel 3.2.0-5-amd64
  • Fedora 27 Atomic: kernel 4.14.11-300.fc27.x86_64
  • CoreOS: kernel 4.14.11-coreos

尚未發布緩解補丁的更新的操作系統有:

  • FreeBSD 11.x
  • FreeBSD 10.x

2018 年 1 月 13 日即將結束維護的 Ubuntu 17.04 將不會收到緩解補丁,所以強烈建議用戶更新或遷移。

警告:強烈建議更新或遷移任何已不再維護的版本,這些版本不會收到針對像 Meltdown 和 Spectre 這樣的漏洞的重要安全更新,這會使系統和用戶處於危險之中。

由於此漏洞的嚴重性,我們建議立即應用更新,而不是等待一個完整的補丁集。這可能需要你升級內核,並重新啟動。

如何更新?

噹噹前使用的發行版的補丁可用時,為了更新伺服器,需要先更新系統軟體。可以通過運行常規軟體包管理器來更新,以下載最新的內核版本,然後重新啟動伺服器切換到修補的代碼。

對於 Ubuntu 的和 Debian ,你可以通過刷新本地包索引,然後再升級系統軟體更新系統軟體:

$ sudo apt-get update n$ sudo apt-get dist-upgrade n

對於 CentOS :

$ sudo yum update n

而對於 Fedora,應該使用最新支持的dnf工具:

$ sudo dnf update n

無論什麼操作系統,一旦應用了更新程序,重新啟動伺服器切換到新的內核:

$ sudo rebootn

一旦伺服器重新上線後,登錄並核對上面的列表中生效的內核,以確保內核已經升級。經常檢查新的更新,以確保可以獲得更多的補丁。

原文:How To Protect Your Server Against the Meltdown and Spectre Vulnerabilities

擴展閱讀:

安天針對處理器A級漏洞Meltdown(熔毀)和Spectre(幽靈)分析報告www.antiy.com圖標Helperhaps:Mozilla 、微軟、谷歌、W3C、三星將一起構建 Web 的統一文檔zhuanlan.zhihu.com圖標Helperhaps:一些非常有用的 VSCode 擴展zhuanlan.zhihu.com圖標

極光日報,極光開發者旗下媒體。

每天導讀三篇英文技術文章。

推薦閱讀:

瀏覽器廠商應對重大 CPU 安全漏洞:降低時鐘精度,禁用 SharedArrayBuffer
博全球眼球的OAuth漏洞
美國國防部漏洞檢測標準

TAG:漏洞 | 中央处理器CPU |