影响范围
●服务器操作系统
中兴新支点电信级服务器操作系统V5
中兴新支点电信级服务器操作系统V4
中兴新支点电信级服务器操作系统V3
●桌面操作系统
中兴新支点桌面操作系统V3
●虚拟化操作系统
中兴新支点容器云操作系统V1
中兴新支点云端服务器操作系统V5
严重级别
重要
漏洞背景
近期Intel、AMD和ARM等处理器芯片被爆出存在设计漏洞,相应的CVE编号是CVE-2017-5753,CVE-2017-5715和CVE-2017-5754。前两个被命名为“Spectre”,第三个被命名为“Meltdown”。
Meltdown漏洞--利用破坏了用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。
Spectre漏洞--利用破坏了不同应用程序之间的安全隔离,允许攻击者借助于无错程序(error-free)来获取敏感信息。
目前已知受影响的架构有:
● 1995年以后生产的Intel处理器芯片
● 部分AMD处理器芯片
● ARMCortexA8、A9、A15、A17、A57、A72、A73、A75处理器
● PowerPC85xx、P1、P2、P3、P4、T1、T2、T4系列
应对建议
1、修复漏洞需要更新系统内核等相关组件。CVE-2017-5715安全漏洞则需要同时升级微码/固件,建议从硬件服务完全OEM厂商获取最新版本。
2、本安全漏洞影响面较广,建议按实际情况分批处理:
● 互联网可见、公有云的系统和设备,建议依据所存放数据的重要程度,分阶段进行升级处理。
● 内网未使用资源共享的系统和设备,可根据实际情况进行选择性升级。
● 内网/专网内部系统和设备,暂可以考虑不升级。
● 内网中暂时无法进行升级的系统和设备,建议做好访问控制策略;关闭不必要的端口和服务,增强系统安全性。
补丁影响和控制
更新内核后对性能有一定影响,在不同配置的硬件服务器、不同的系统参数配置和不同业务场景下,性能影响表现存在差异。依据上游在BroadwellXeon(R)CPUE7-8860上的测试数据,OS侧的性能影响范围在0.19%-8.07%之间;对用户的性能影响还需要在实际环境中带业务实测。
补丁获取方式:
请通过4000330108或技术支持邮箱等方式联系售后反馈版本使用情况,售后中心将协助用户升级,确保安全问题得以解决。
参考链接
● GoogleProjectZeroBlog:
https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
● Metldown:
https://meltdownattack.com/
● Spectre:
https://spectreattack.com/