影响范围

　　●服务器操作系统

　　中兴新支点电信级服务器操作系统V5

　　中兴新支点电信级服务器操作系统V4

　　中兴新支点电信级服务器操作系统V3
 

　　●桌面操作系统

　　中兴新支点桌面操作系统V3
 

　　●虚拟化操作系统

　　中兴新支点容器云操作系统V1
　　中兴新支点云端服务器操作系统V5
 

严重级别

　　重要
 

 

漏洞背景

　　近期Intel、AMD和ARM等处理器芯片被爆出存在设计漏洞，相应的CVE编号是CVE-2017-5753，CVE-2017-5715和CVE-2017-5754。前两个被命名为“Spectre”，第三个被命名为“Meltdown”。

　　Meltdown漏洞--利用破坏了用户程序和操作系统之间的基本隔离，允许攻击者未授权访问其他程序和操作系统的内存，获取其他程序和操作系统的敏感信息。

　　Spectre漏洞--利用破坏了不同应用程序之间的安全隔离，允许攻击者借助于无错程序（error-free）来获取敏感信息。
 

目前已知受影响的架构有：

　　● 1995年以后生产的Intel处理器芯片

　　● 部分AMD处理器芯片

　　● ARMCortexA8、A9、A15、A17、A57、A72、A73、A75处理器

　　● PowerPC85xx、P1、P2、P3、P4、T1、T2、T4系列
 

应对建议

　　1、修复漏洞需要更新系统内核等相关组件。CVE-2017-5715安全漏洞则需要同时升级微码/固件，建议从硬件服务完全OEM厂商获取最新版本。

　　2、本安全漏洞影响面较广，建议按实际情况分批处理：

　　 ● 互联网可见、公有云的系统和设备，建议依据所存放数据的重要程度，分阶段进行升级处理。

　　 ● 内网未使用资源共享的系统和设备，可根据实际情况进行选择性升级。

　　 ● 内网/专网内部系统和设备，暂可以考虑不升级。

　　 ● 内网中暂时无法进行升级的系统和设备，建议做好访问控制策略；关闭不必要的端口和服务，增强系统安全性。
 

补丁影响和控制

　　更新内核后对性能有一定影响，在不同配置的硬件服务器、不同的系统参数配置和不同业务场景下，性能影响表现存在差异。依据上游在BroadwellXeon(R)CPUE7-8860上的测试数据，OS侧的性能影响范围在0.19%-8.07%之间；对用户的性能影响还需要在实际环境中带业务实测。
 

补丁获取方式：

　　请通过4000330108或技术支持邮箱等方式联系售后反馈版本使用情况，售后中心将协助用户升级，确保安全问题得以解决。
 

参考链接

　　● GoogleProjectZeroBlog:

               https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html
 

　　● Metldown:
               https://meltdownattack.com/
 

　　● Spectre:
               https://spectreattack.com/