相关信息 Relevant Information

    关于CPU Meltdown和Spectre漏洞的处理公告

    • 2018-01-12

    1 公告概述

    201813日,安全研究者披露了三个CPU内核高危漏洞:Spectre(CVE-2017-5715, CVE-2017-5753)MeltdownCVE-2017-5754)。攻击者可利用上述漏洞,绕过内存安全隔离机制,越权访问操作系统和其它程序的核心数据,造成敏感信息泄露。

    针对这几个漏洞,烽火秉承客户导向、诚信敬业、持续创新、增量发展的价值理念,坚定地站在客户身边,与客户共承担、共进退,在第一时间与芯片和操作系统厂商展开紧密合作,进行了相关分析及修复工作,为帮助客户防范此次漏洞可能带来的风险,烽火将以最快的速度提供完整的解决方案,请持续关注烽火公告。

    烽火售后服务公告链接:http://service.fiberhome.com/template/fhtx_zh/index.jsp

    2 漏洞说明

    Meltdown CVE-2017-5754 ):可破坏用户程序和操作系统之间的基本隔离,允许攻击者未授权情况下可以访问其他程序和操作系统的内存,从而盗取其他程序和操作系统的敏感信息。

    Spectre CVE-2017-5753/CVE-2017-5715 ):可破坏不同应用程序之间的隔离。允许攻击者借助于无错程序(error-free)来获取敏感信息。另一方面,程序的安全检查会增加攻击手段,使程序更容易受到Spectre的影响。

    3 修复方案

    3.1 修复方案概述

      1、针对漏洞CVE-2017-5754Roguedata cache load),需要进行操作系统补丁升级,针对不同的操作系统,修改方式见下文的链接。

      2、针对漏洞CVE-2017-5753Boundscheck bypass),需要进行操作系统补丁升级,针对不同的操作系统,修改方式见下文的链接。

      3、针对漏洞CVE-2017-5715Branchtarget injection),需要进行操作系统补丁升级,及CPU Microcode升级。

    3.2 操作系统补丁升级

        目前MicrosoftRedHatSUSECentOS等各主流操作系统提供商都已发布修复补丁,建议按照操作系统提供商的安全建议及升级链接中的标准做法实施操作系统补丁升级,如下:

    1Windows安全更新建议

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

    2RedHat安全更新建议

    https://access.redhat.com/security/vulnerabilities/speculativeexecution

    3SUSE安全更新建议

    https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/

    4VMware安全更新建议

    https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

    5Ubuntu安全更新建议

    https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown?_ga=2.33961576.819489008.1515576204-42428908.1510191967

    6CentOS安全更新建议

    http://news.softpedia.com/news/centos-linux-receives-security-updates-against-meltdown-and-spectre-exploits-519248.shtml

    3.3 CPU Microcode升级

    采用升级BIOS的方式来实现CPUMicrocode的升级。

    请通过我司官方链接(http://service.fiberhome.com)下载对应产品型号的BIOS版本,参照一并发布的【CPUMeltdownSpectre漏洞修复指导文档】,执行升级BIOS操作,重启系统后生效。升级过程中的任何问题,可联系我司售后服务获取支持。

    4 影响产品

    SpectreMeltdown漏洞影响,我司以下产品需要进行升级。

    Intel Xeon V3/V4系列产品

    Intel Xeon Scalable系列产品



    T1100

    R1100 V5


    T1300

    R1200 V5


    T1500

    R2200 V5


    T2500

    R4200 V5


    R1100

    R2400 V5


    R1200

    R4400 V5


    R2200

    R7800 V5


    R4200

    H2400 V5


    R2400

    H4400 V5


    R4400

    H4800 V5


    R7800

    B4000 V5


    H2400

    B8000 V5


    H4400

    G1260 V5


    H4800

    G1460 V5


    B3000

    G1480 V5


    B7000

    G4460 V5


    B9000

    G4A60 V5


    G1260

    G4880 V5


    G1460


    G1480


    G4460


    G4A60


    G4880


    5 升级计划

    针对上述漏洞,目前我司已完成BIOS软件升级包的开发,现正在与CPU和操作系统提供商进行最后验证确认中,预计所有软件将在2018131日前完成释放,并将同步释放漏洞修复指导文档。

    具体信息请关注我司售后服务网址:http://service.fiberhome.com

    目前我司售后服务部门已24小时待命,竭诚为客户提供专业的升级指导。

    售后服务热线:800-880-0787    

    400-889-0787

    6 参考链接

    英特尔关于安全研究结果的回应及处理进展

      https://newsroom.intel.cn/press-kits/security-exploits-intel-products/

    Google安全博客

    https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

    GoogleProject Zero 研究

    https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html