普華髮布Linux高危內核漏洞—「晶元漏洞」修復方案

【天極網IT新聞頻道】導讀：近日，全球最大計算機晶元製造商英特爾(Intel)的產品，被揭存在安全漏洞，處理器內核內存的數據可能遭黑客竊取，令用戶的密碼等敏感數據外泄。據悉，該缺陷存在於過去十年生產的現代英特爾處理器中。它讓普通的用戶程序(從資料庫應用軟體到互聯網瀏覽器中的JavaScript)在一定程度上得以發現受保護內核內存裡面的數據。這個漏洞的具體情況還有待證實，但普華已經在第一時間針對可能存在的風險給出了解決方案。

普華已經發現多個微架構(硬體)實現問題，這些問題影響到許多現代微處理器，需要對Linux內核、與虛擬化相關的組件進行更新，以及/或與微代碼更新相結合。一個無特權的攻擊者可以利用這些缺陷繞過傳統的內存安全限制，以獲得對特權內存的讀取訪問，否則將無法訪問。有3個已知的CVEs與Intel、AMD和ARM架構相關。對於其他體系結構的額外開發也被認為存在。其中包括IBM System Z、POWER8(Big Endian和Little Endian)和POWER9(Little Endian)。

漏洞描述：

這是一個全行業的問題，許多現代的微處理器設計都實現了對指令的推測執行(一種常用的性能優化)。這個問題有三種主要的變體，它們的不同之處在於投機的執行可以被利用。三者都依賴於一個事實，即現代高性能微處理器實現了推測執行，並利用VIPT(實際上是索引的、物理標記的)1級數據緩存，在這種推測中，它可能會被分配到內核虛擬地址空間中的數據。

前兩種變體濫用推測執行來執行bounds - check旁路(cve-2017-5753)，或者利用分支目標註入(cve-2017-5715)，在攻擊者控制下的地址中導致內核代碼進行投機。這些統稱為「幽靈」。這兩種變體都依賴於特權代碼中精確定義的指令序列的存在，以及內存訪問可能會導致分配到微處理器一級數據緩存中的事實，即使是在推測執行的指令中，也不會實際提交(退休)。因此，一個無特權的攻擊者可以利用這兩個缺陷通過進行目標緩存側向通道攻擊來讀取特權內存。這些變體不僅可以用於交叉syscall邊界(變體1和變體2)，還可以用於客戶機/主機邊界(變體2)。

第三種變體(cve-2017-5754)依賴於在受影響的微處理器上，在對指令許可權錯誤的推測執行過程中，錯誤訪問引發的異常生成被抑制，直到整個指令塊的退役。研究人員稱這種現象為「熔解」。後續的內存訪問可能會導致分配到L1數據緩存，即使它們引用了其他不可訪問的內存位置。因此，一個無特權的本地攻擊者可以通過進行有針對性的緩存側向通道攻擊來讀取特權(內核空間)內存(包括主機上的任意物理內存位置)。

安全級別：

高危

涉及產品：

普華伺服器操作系統V3.0

普華伺服器操作系統 V3.0 SP1

普華伺服器操作系統 V3.2

普華伺服器操作系統 V4.0

普華桌面操作系統 V4.0

問題診斷：

如何確認當前kernel 版本是否存在漏洞

rpm -q 包名

在普華伺服器操作系統V3.0、V3.0 SP1、V3.2版本中：

kernel 版本低於kernel-2.6.32-696.18.7.el6.1

libvirt 版本低於libvirt-0.10.2-62.el6.isoft.1

qemu-kvm 版本低於qemu-kvm-0.12.1.2-2.503.el6.isoft.4

在普華伺服器操作系統V4.0中：

kernel 版本低於kernel-3.10.0-693.11.6.el7.isoft.1

libvirt 版本低於libvirt-3.2.0-14.el7.isoft.7

qemu-kvm 版本低於qemu-kvm-1.5.3-141.el7.isoft.6

修復方式：

1、查看系統安裝的kernel libvirt qemu-kvm 軟體包

如 rpm -qa | grep kernel

2、使用命令"rpm -Uvh rpm軟體包

3、普華桌面操作系統聯網自動更新

補丁下載:

登陸普華網站下載，技術支持-安全及系統漏洞公告-處理器漏洞

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！