【重要通知】阿里云关于Intel处理器Meltdown和Spectre安全漏洞处理持续更新公告

简介: 近日,Intel处理器被爆出严重安全隐患,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。

2018年1月8日

关于公告还在不断更新中。已邀请专家就相关技术与方案进行分享。为汇聚更多内容,帮用户详细了解,社区特别制作专题:
Intel处理器Meltdown、Spectre安全漏洞事件跟踪

2018年1月10日

针对客户操作系统层的漏洞,已经发布补丁更新的操作系统情况更新如下:
Ubuntu和Debain发布CVE-2017-5754补丁
Ubuntu和Debain的修复方式更新

2018年1月11日

针对云平台底层基础架构的漏洞:
为保障用户业务稳定,我们会细化修复批次,降低修复密度,因此最后一批次预计完成时间调整至1月19日,修复完成后我们会第一时间更新本公告。


2018年1月6日更新如下:

1、针对云平台底层基础架构的漏洞:阿里云基于SGX技术的商业化产品已经完成修复。

2、针对客户操作系统层的漏洞,已经发布补丁更新的操作系统情况更新如下:

       Debian 9(部分漏洞已更新)

       SUSE Linux Enterprise Server 12 sp3





2018年1月5日下午16:17更新如下:

【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告


北京时间2018年01月03日,Intel处理器芯片被爆出存严重安全漏洞,该漏洞事件源于芯片硬件层面的设计BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。

具体详情如下:

漏洞编号:

CVE-2017-5753

CVE-2017-5715

CVE-2017-5754

漏洞名称:

Intel处理器存在严重芯片级漏洞

官方评级:

高危

漏洞描述:

由于计算机处理器芯片在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露风险。

根据披露的攻击细节和阿里云技术团队的综合分析,本次针对英特尔处理器漏洞有两种攻击方法,分别为Meltdown和Spectre。Meltdown涉及CVE编号CVE-2017-5753和CVE-2017-5715,而Spectre涉及CVE编号CVE-2017-5754。

具体攻击方式介绍如下:

漏洞影响范围:

该漏洞存在于英特尔(Intel)x86-64的硬件中,本次受影响范围从1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响。

漏洞风险:

从目前公开的PoC测试来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。

漏洞修复建议(或缓解措施):

  • 云平台修复

阿里云已经启动了云平台底层基础架构的漏洞修复更新,会根据批次依次修复,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。

阿里云官方公告-2018.01.04:https://help.aliyun.com/noticelist/articleid/20700730.html

  • 租户修复

    1. 本次漏洞租户需要更新补丁以彻底规避该风险,阿里云目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的操作系统镜像。

      跟踪状态如下(2018年1月5日更新):

      82f8033a571cfd8c3500f98a17cbb128c9e250ac

      注意:云服务器提供的操作系统发行版本详见ECS 实例操作系统选择说明
    2. 由于当前大多数厂商还未发布补丁,阿里云建议您按照安全最佳实践做好安全加固和防护措施,防止被攻击者利用;

    3. 目前发现Linux系统执行修补后可能造成一定程度的性能影响。该漏洞只能通过本地提权操作才能获取获取敏感信息,为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复漏洞。修补前请做好业务验证及必要的数据备份。

情报来源:





2018年1月5日上午9:00更新如下:


近日,Intel处理器被爆出严重安全隐患,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。漏洞披露前,阿里云已与Intel同步关键安全信息,并持续就修复方案做验证。截至此公告发布,没有监测到针对此漏洞的攻击程序。


解决该安全隐患的完整修复方案包含两个部分,一是云平台虚拟化宿主机修复,二是客户侧的操作系统更新。目前,阿里云已经启动了云平台底层基础架构的漏洞修复工作,最迟于北京时间1月12日24点之前完成。该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。


由于此隐患涉及过去10年间Intel的绝大部分CPU型号,已知有部分场景下不支持热升级方案。与之相关的客户我们会另行提前通知,请确保预留的联系方式(手机、邮箱)畅通。我们建议客户根据业务情况,提前调整和准备运营预案,妥善备份重要业务数据。


在云平台底层基础架构的漏洞修复工作完成后,我们建议客户进行操作系统的补丁更新,以确保完整的安全性。阿里云正积极联合Intel、微软以及Linux各发行版本厂商验证操作系统更新方案,最新进展将会第一时间更新。


随着技术验证和修复工作的推进,本公告将持续更新,建议用户持续关注公告内容。有任何问题,可随时通过工单或服务电话95187联系反馈。


相关文章
|
26天前
|
弹性计算 持续交付 开发工具
【阿里云幻兽帕鲁全攻略】一分钟自动化部署教程,大咖视频讲解,游戏FAQ持续更新中
帕鲁攻略全集:从云服务器选购,到完成自动化部署,还有视频教程手把手教学,各类游戏FAQ持续更新中
|
30天前
|
弹性计算 安全 Linux
幻兽帕鲁在阿里云上的快速部署教程(持续更新)
幻兽帕鲁在阿里云上的快速部署教程(持续更新)如何自建幻兽帕鲁服务器?基于阿里云服务器搭建幻兽帕鲁palworld服务器教程来了,一看就懂系列。本文是利用OOS中幻兽帕鲁扩展程序来一键部署幻兽帕鲁服务器,阿里云百科分享官方基于阿里云服务器快速创建幻兽帕鲁服务器教程:
143 1
|
1月前
|
弹性计算 Ubuntu Linux
幻兽帕鲁在阿里云上的快速部署教程(持续更新)
幻兽帕鲁最近非常火,是一款支持多人游戏模式的全新开放世界生存制作游戏。在广阔的世界中收集神奇的生物“帕鲁”,派他们进行战斗、建造、做农活,工业生产等。 游戏推出自己搭建服务器形式,针对大陆用户,想抢先体验的,并通过加速连接官方服务器节点体验游戏。如果你想要快速上手幻兽帕鲁,快速完成资源和环境部署,可以参考本教程实操验证。 零代码,在10-15分钟内一键完成环境和应用搭建 事前校验和计价,按量使用(本方案消费约0.724元/时) 体验完后还可以一键释放
10402 5
|
2月前
|
分布式计算 关系型数据库 MySQL
阿里云ADB MySQL X Intel联合推出训练营,参营完成任务即可获100元话费卡!
AnalyticDB MySQL和Intel联合推出基于ADB Spark的训练营,ADB新用户参营完成任务即可获得价值100元的话费卡权益包!下图可扫码参加,也可直接点击链接前往 https://edu.aliyun.com/trainingcamp/355118
阿里云ADB MySQL X Intel联合推出训练营,参营完成任务即可获100元话费卡!
|
9月前
|
数据中心
《阿里云产品手册2022-2023 版》——云数据中心专用处理器CIPU
《阿里云产品手册2022-2023 版》——云数据中心专用处理器CIPU
128 0
《阿里云产品手册2022-2023 版》——云数据中心专用处理器CIPU
|
9月前
|
数据中心
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——CIPU是怎么诞生的
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——CIPU是怎么诞生的自制脑图
65 1
|
9月前
|
数据中心
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——CIPU+飞天
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——CIPU+飞天自制脑图
108 1
|
9月前
|
数据中心
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——何为CIPU
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——何为CIPU自制脑图
93 1
|
9月前
|
数据中心 云计算
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——云计算技术经历的三个阶段
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——云计算技术经历的三个阶段自制脑图
134 1
|
9月前
|
数据中心
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——CIPU简介
阿里云最新产品手册——阿里云核心产品——云数据中心专用处理器CIPU——CIPU简介自制脑图
141 1

热门文章

最新文章