問題描述

2018年1月3日，Intel處理器芯片被曝出存在嚴重的Meltdown和Spectre安全漏洞，漏洞詳情如下：

漏洞名稱：Intel處理器存在嚴重芯片級漏洞

漏洞編號：CVE-2017-5753、CVE-2017-5715、CVE-2017-5754

漏洞級別：嚴重

漏洞描述：攻擊者可以利用Meltdown （CVE-2017-5754） 和Spectre （CVE-2017-5715/CVE-2017-5753）

繞過內存安全隔離機制，越權訪問操作系統和其他程序的核心數據，造成敏感信息泄露。

問題影響

該漏洞不會引起不同彈性云主機之間的攻擊，但可能會引起如下問題：

• 彈性云主機內多個應用之間，可能存在攻擊。
• 對于同一彈性云主機，多個帳號之間可能存在攻擊。

使用公共鏡像的彈性云主機，云平臺會對公共鏡像依次修復，不會對您的業務帶來影響。

使用私有鏡像的彈性云主機，請根據漏洞影響評估是否更新補丁，以規避風險，更新補丁的具體操作請參見本節內容。

前提條件

為避免發生意外，修復漏洞前，建議進行充分測試，并完成彈性云主機的數據備份操作，避免發生意外。

Windows彈性云主機處理方法

1. 登錄彈性云主機。

2. 更新補丁。

   方式一：使用Windows自動更新功能安裝補丁。
   a. 打開Windows Update，并單擊“檢查更新”。
   b. 根據需要下載安裝相關安全補丁。
   方式二：手動下載補丁并安裝。
   下載官方發布的補丁進行安裝，如KB4078130。

3. 重啟彈性云主機，使補丁生效。

4. 驗證是否升級成功。
   a. 檢查系統運行情況是否正常。
   b. 檢查已安裝的補丁清單是否滿足微軟官方的要求。

Linux彈性云主機處理方法

1. 登錄彈性云主機。
2. 更新補丁，升級kernel內核。

                
說明
                
說明：升級kernel內核后，請務必執行reboot命令重啟彈性云主機。
              

3. 驗證是否升級成功。

檢測Linux操作系統安全漏洞是否已修補完成

1. 在github網站搜索spectre-meltdown-checker，獲取spectre-meltdown-checker.sh檢測腳本。
2. 將步驟1獲取的腳本上傳至云主機。
3. 在云主機執行以下命令，并根據腳本提示判斷Meltdown或Spectre漏洞是否已經修復。

   chmod +x spectre-meltdown-checker.sh
   sudo bash spectre-meltdown-checker.sh
   

回顯信息如圖1所示。

圖1 執行腳本后的回顯信息

OK為已修復漏洞，KO為未修復，如圖1所示代表CVE-2017-5753、CVE-2017-5715、CVE-2017-5754漏洞均已修復。

打開或關閉Linux操作系統的安全漏洞補丁開關

CPU的預測執行是一種性能優化技術，因此修復Meltdown或Spectre漏洞后可能導致在特定工作負載下的性能下降。

如果您希望可以禁用部分或全部漏洞安全保護策略以避免漏洞修復帶來的性能下降，那么可以參考以下操作啟用或者禁用安全保護策略。

您可以根據如下具體情況配置系統來達到理想的安全策略：

• Meltdown漏洞

采取頁表隔離pti（Page Table Isolation）來控制內核頁表隔離功能，此功能適用于CVE-2017-5754。

• Spectre漏洞

采取間接分支限制預測ibrs（Indirect Branch Restricted Speculation）控制SPEC_CTRL模型特定寄存器（MSR）中的IBRS功能，結合retpoline，及間接分支預測障礙ibpb（Indirect Branch Prediction Barriers）控制PRED_CMD模型特定寄存器（MSR）中的IBPB功能，此功能適用于CVE-2017-5715。

說明
CVE-2017-5753漏洞是通過內核補丁修復的，它無法禁用，并且它在Red Hat的性能測試中沒有顯示出任何可見的影響。

• 關閉Meltdown安全漏洞補丁

如果您認為Meltdown漏洞修復對系統的性能影響不可接受，或者您有更好的保護機制，可根據以下步驟操作：

1. 根據不同的操作系統修改內核參數：
    a. CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加內核參數nopti

   b. Debian、OpenSUSE：添加內核參數pti=off

2. 重啟云主機。

• 關閉Spectre安全漏洞補丁

如果您認為Spectre漏洞修復對系統的性能影響不可接受，或者您有更好的保護機制，可根據以下步驟操作：

1. 根據不同的操作系統修改內核參數：
   a. CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加內核參數spectre_v2=off
   b. Ubuntu：添加內核參數nospectre_v2=off
2. 重啟云主機。

如果您使用的是第三方操作系統，可以前往對應官網查詢更多信息。