产品文档

安全说明

帮助中心 > 产品文档 > 安全说明 > Intel处理器Meltdown和Spectre安全漏洞建议修复方案

Intel处理器Meltdown和Spectre安全漏洞建议修复方案

2018年01月03日,Intel处理器芯片被爆出存严重安全漏洞,该漏洞事件源于芯片硬件层面的设计缺陷,可导致Windows/Linux系统内越权访问内核敏感数据,如操作系统普通用户可以获取管理员数据。为保证您的云主机不受此次漏洞影响,请您根据自身业务情况决定是否需要升级修复漏洞,如需升级请参考下方指导建议完成存量云主机的漏洞修复。

(1月9日-1月12日,京东云将会按计划对各地域全部机房进行基础架构的漏洞修复,可能导致在此期间进行的补丁或内核更新后部分验证失败,如出现此类情况,请您于1月12日05:00之后再次尝试验证。)

您可参照Microsoft和Redhat官方给出的修复方案进行系统升级:

京东云技术团队对官方修复方案进行了验证和整理,给出如下建议修复方案,仅供参考:

CentOS 6.X 系统

系统版本

CentOS 6.1、6.3、6.4、6.5、6.6、6.7、6.8

官方安全公告

官方补丁状态

目前RedHat官方已提供安全补丁,并已包含在CentOS 6 官方yum源最新kernel中

补丁更新方法

  1. 做好云主机数据备份
  2. 切换到root 用户
  3. 命令行中输入命令:yum update kernel 注意:update后,CentOS 6.1~6.8 版本的内核最终都将升级为CentOS 6.9 的最新内核版本(kernel-2.6.32-696.18.7.el6)
  4. 重启系统

验证方式

方法1: 以root 用户输入命令grep -e 'CONFIG_KAISER' /boot/config-uname -r

显示 CONFIG_KAISER=y 则证明补丁生效

方法2: 以root用户输入命令uname -r ,系统显示 2.6.32-696.18.7.el6 则证明补丁生效

CentOS 7.X 系统

系统版本

CentOS 7.1、7.2、7.3、7.2 NAT Gateway

官方安全公告

官方补丁状态

目前RedHat官方已提供安全补丁,并已包含在CentOS 7 官方yum源最新kernel中

补丁更新方法

  1. 做好云主机数据备份
  2. 切换到root 用户
  3. 命令行中输入命令:yum update kernel 注意:update后,CentOS 7.1~7.3 版本的内核最终都将升级为CentOS 7.4 的最新内核版本(kernel-3.10.0-693.11.6.el7)
  4. 重启系统

验证方式

方法1:

  1. 在/sys/kernel/debug/x86/ 目录下多了ibpb_enabled

pti_enabled ibrs_enabled。

  1. 以root 用户输入命令cat /sys/kernel/debug/x86/ pti_enabled ,显示1 则证明补丁生效

方法2:

以root用户输入命令uname -r ,系统显示 3.10.0-693.11.6.el7 则证明补丁生效

Ubuntu 系统

系统版本

Ubuntu 12.04、14.04、16.04

官方安全公告

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

官方补丁状态

目前Ubuntu 官方已提供安全补丁。

补丁更新方法

  1. 做好云主机数据备份
  2. 切换到root 用户
  3. Ubuntu 12.04 运行命令:
    apt-get update     apt-get install linux-image-3.13.0-139-generic

Ubuntu 14.04/16.04运行命令:

    apt-get update     apt-get install linux-image-4.4.0-109-generic
  1. 重启系统

验证方式

以root用户输入命令uname -r

Ubuntu 12.04 系统显示 3.13.0-139-generic 则证明补丁生效

Ubuntu 14.04/16.04 系统显示 4.4.0-109-generic 则证明补丁生效

Windows Server 系统 标准版

系统版本

Windows Server 2012 R2 标准版 64位 中文版

官方安全公告

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

官方补丁状态

目前Microsoft官方已提供安全补丁

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898

补丁更新方法

  1. 做好云主机数据备份
  2. 下载windows针对2012 R2 的补丁 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056898
  3. 下载后请按照安装向导完成安装(管理员方式),成功后按照提示重启主机
  4. 管理员方式,打开powershell命令行增加注册表项。内容如下:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
5. 重启云主机

验证方式

  1. 使用验证工具校验补丁是否已生效:

    官方验证工具下载地址:https://gallery.technet.microsoft.com/scriptcenter/Speculation-Control-e36f0050

  2. 解压验证工具后,请按照以下步骤完成验证:

 PS> # Save the current execution policy so it can be reset
 PS> $SaveExecutionPolicy = Get-ExecutionPolicy
 PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
 PS> CD C:\ADV180002\SpeculationControl
 PS> Import-Module .\SpeculationControl.psd1
 PS> Get-SpeculationControlSettings
 PS> # Reset the execution policy to the original state
 PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
3. 如果验证结果显示以下信息,说明验证成功:
 PS C:\> Get-SpeculationControlSettings
 Speculation control settings for CVE-2017-5715 [branch target injection]
 Hardware support for branch target injection mitigation is present: True
 Windows OS support for branch target injection mitigation is present: True
 Windows OS support for branch target injection mitigation is enabled: True
 Speculation control settings for CVE-2017-5754 [rogue data cache load]
 Hardware requires kernel VA shadowing: True
 Windows OS support for kernel VA shadow is present: True
 Windows OS support for kernel VA shadow is enabled: True
 Windows OS support for PCID optimization is enabled: True
(以上补丁安装和验证过程参考微软官方的说明,具体请见:[https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution](https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution)

Windows Server 系统 DC版

系统版本

Windows Server 2008 R2 DC版 64位 中文版

官方安全公告

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

官方补丁状态

目前Microsoft官方已提供安全补丁

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897

补丁更新方法

  1. 做好云主机数据备份
  2. 下载windows针对2008 R2 的补丁: https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
  3. 下载后请按照安装向导完成安装(管理员方式),成功后按照提示重启主机
  4. 管理员方式,打开powershell命令行增加注册表项。内容如下:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
5. 重启云主机

验证方式

  1. 通过下方链接下载并使用验证工具校验补丁是否已生效(由于官方提供的工具有误,请使用京东云修改后的工具验证):http://storage.jd.com/userdownload/SpeculationControl-2008.zip

  2. 解压验证工具后,请按照以下步骤完成验证:

 PS> # Save the current execution policy so it can be reset
 PS> $SaveExecutionPolicy = Get-ExecutionPolicy
 PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
 PS> CD C:\ADV180002\SpeculationControl
 PS> Import-Module .\SpeculationControl.psd1
 PS> Get-SpeculationControlSettings
 PS> # Reset the execution policy to the original state
 PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
3. 如果验证结果显示以下信息,说明验证成功:
 PS C:\> Get-SpeculationControlSettings
 Speculation control settings for CVE-2017-5715 [branch target injection]
 Hardware support for branch target injection mitigation is present: True
 Windows OS support for branch target injection mitigation is present: True
 Windows OS support for branch target injection mitigation is enabled: True
 Speculation control settings for CVE-2017-5754 [rogue data cache load]
 Hardware requires kernel VA shadowing: True
 Windows OS support for kernel VA shadow is present: True
 Windows OS support for kernel VA shadow is enabled: True
 Windows OS support for PCID optimization is enabled: True
(以上补丁安装和验证过程参考微软官方的说明,具体请见:[https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution](https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution)
更新时间:2019-06-24 17:10:27