BLSA-2018:0009 – [重要] microcode_ctl的安全警告及修复方法


  • BCLinux Developers

    BLSA-2018:0009 – [重要] microcode_ctl的安全警告及修复方法

    问题描述

           最近,Intel CPU 被披露存在一个严重的芯片级安全漏洞,这个漏洞几乎影响了现在所有正在使用的 CPU 型号,影响范围广泛而深远。攻击者可以利用该漏洞从普通程序入口获取推测到本该受到保护的内核内存区域的内容和布局,可以从数据库或者浏览器的 JavaScript 程序获取用户的内存信息。
           关于这个漏洞,有三个变种,其中一个变种是branch target injection (CVE-2017-5715),基于这个变种的攻击方式为:Spectre (幽灵)。BCLinux系统提供的microcode_ctl更新包提供了修复该漏洞的修复补丁。鉴于该漏洞影响范围广、破坏力强,为了增加系统安全强度,建议所有使用受影响产品的用户都安装 BCLinux 提供的的更新补丁。

    幽灵 Spectre简介
    攻击会影响到台式、笔记本和云设备以及智能手机等。所有能够 “让多条指令处在in flight 状态” 的处理器都会受到影响,在 Intel、AMD 和ARM处理器上都验证了 Spectre 攻击。当前,Spectre 只影响到了用户级的进程。但是将来可能会有更加严重的影响。

    影响范围

    该漏洞存在于英特尔(Intel)x86_64的硬件中,1995年以后生产的Intel处理器芯片都可能受到影响,同时AMD,Qualcomm,ARM处理器也受影响。

    影响版本

    • BigCloud Enterprise Linux 7.3
    • BigCloud Enterprise Linux 7.2
    • BigCloud Enterprise Linux 6.8
    • BigCloud Enterprise Linux 6.5
    • Red Hat Enterprise Linux 7.3
    • Red Hat Enterprise Linux 7.2
    • Red Hat Enterprise Linux 6.8
    • Red Hat Enterprise Linux 6.5
    • CentOS Linux 7.3
    • CentOS Linux 7.2
    • CentOS Linux 6.8
    • CentOS Linux 6.5

    详细介绍

    此前提供的为修复CVE-2017-5715漏洞的更新,在进一步的测试中被发现可能会导致系统的不稳定问题,因此提供了此次更新,将microcode_ctl回退到2018年1月3日之前的microcode_ctl版本,强烈建议客户联系硬件供应商以获取最新的微码更新。

    解决方案

    目前,BCLinux 的官方源已经提供 microcode_ctl 的更新软件包,受影响的 BCLinux 7.3 客户端用户需要升级到 2.1-16.5.el7_3 版本;受影响的 BCLinux 7.2 客户端用户需要升级到 2.1-12.el7_2.3 版本;受影响的 BCLinux 6.8 客户端用户需要升级到 1.17-25.4.el6_9 版本;受影响的 BCLinux 6.5 客户端用户需要升级到 1.17-25.4.el6_9 版本。

    注:
    此次漏洞修复,只针对部分用户。对于此前BCLinux 7.3用户升级microcode_ctl到2.1-16.4.el7_3 ,BCLinux 7.2升级microcode_ctl到2.1-12.el7_2.2,BCLinux 6.5/6.8用户升级microcode_ctl到1.17-25.2.el6_9,需要这些用户安装此次更新包,以回退微码。安装此次更新包后,需要重启系统。如果未升级到上述指定的版本,则不需要安装此次发布的更新包。

    BCLinux 7.3 用户升级方法

    1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7_3 ~]#  ls -l /etc/yum.repos.d/
    total 24
    -rw-r--r--. 1 root root  969 Mar 13  2017 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1509 Mar  8  2017 BCLinux-CR.repo
    -rw-r--r--. 1 root root  673 Mar  8  2017 BCLinux-Debuginfo.repo
    -rw-r--r--. 1 root root 1218 Mar  8  2017 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1027 Mar  8  2017 BCLinux-Source.repo
    -rw-r--r--. 1 root root  811 Mar  8  2017 BigCloud.repo
    

    2.安装更新

    [root@BCLinux7_3 ~]# yum update microcode_ctl
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package microcode_ctl.x86_64 2:2.1-16.el7 will be updated
    ---> Package microcode_ctl.x86_64 2:2.1-16.5.el7_3 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                                       Arch                                   Version                                            Reposi
    ===============================================================================================================================================
    Updating:
     microcode_ctl                                 x86_64                                 2:2.1-16.5.el7_3                                   update
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade  1 Package
    
    Total download size: 746 k
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux7_3 ~]# rpm -q microcode_ctl
    microcode_ctl-2.1-16.5.el7_3.x86_64
    

    BCLinux 7.2 用户升级方法

    1.检查YUM源设置,确保使用的是 BCLinux 官方YUM源

    [root@BCLinux7_2 ~]# ls -l /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    
    

    2.安装更新

    [root@BCLinux7_2 ~]# yum --releasever 7.2 update microcode_ctl
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package microcode_ctl.x86_64 2:2.1-12.el7 will be updated
    ---> Package microcode_ctl.x86_64 2:2.1-12.el7_2.3 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                             Arch                         Version                                  Repository                     Size
    ===============================================================================================================================================
    Updating:
     microcode_ctl                       x86_64                       2:2.1-12.el7_2.3                         updates                       536 k
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade  1 Package
    
    Total download size: 536 k
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux7_2 ~]# rpm -q microcode_ctl
    microcode_ctl-2.1-12.el7_2.3.x86_64
    

    BCLinux 6.8 用户升级方法

    1.打开 BCLinux CR 源选项(enabled设置为1)

    [root@BCLinux6_8 ~]# vi /etc/yum.repos.d/BCLinux-CR.repo 
    
    [cr]
    name=BCLinux-$releasever - CR
    baseurl=http://mirrors.bclinux.org/bclinux/el$releasever/cr/$basearch/
    enabled=1
    gpgcheck=0
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-BCLinux-6
    

    2.安装更新

    [root@BCLinux6_8 ~]# yum update microcode_ctl
    Loaded plugins: fastestmirror
    Setting up Update Process
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package microcode_ctl.x86_64 1:1.17-25.2.el6_9 will be updated
    ---> Package microcode_ctl.x86_64 1:1.17-25.4.el6_9 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                              Arch                          Version                                    Repository                 Size
    ===============================================================================================================================================
    Updating:
     microcode_ctl                        x86_64                        1:1.17-25.4.el6_9                          cr                        1.2 M
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade       1 Package(s)
    
    Total download size: 1.2 M
    Is this ok [y/N]: y
    

    3.复查

    [root@BCLinux6_8 ~]# rpm -q microcode_ctl
    microcode_ctl-1.17-25.4.el6_9.x86_64
    

    BCLinux 6.5 用户升级方法

    1.添加 BCLinux CR 源

    [root@BCLinux6_5 ~]# vi /etc/yum.repos.d/BCLinux-CR.repo 
    
    [cr]
    name=BCLinux-$releasever - CR
    baseurl=http://mirrors.bclinux.org/bclinux/el$releasever/cr/$basearch/
    enabled=1
    gpgcheck=0
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-BCLinux-6
    
    

    2.安装更新

    [root@BCLinux6_5 ~]# yum update microcode_ctl
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Setting up Update Process
    Resolving Dependencies
    --> Running transaction check
    ---> Package microcode_ctl.x86_64 1:1.17-21.el6 will be updated
    ---> Package microcode_ctl.x86_64 1:1.17-25.4.el6_9 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                              Arch                          Version                                    Repository                 Size
    ===============================================================================================================================================
    Updating:
     microcode_ctl                        x86_64                        1:1.17-25.4.el6_9                          cr                        1.2 M
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade       1 Package(s)
    
    Total download size: 1.2 M
    Is this ok [y/N]: y  
    

    3.复查

    [root@BCLinux6_5 ~]# rpm -q microcode_ctl
    microcode_ctl-1.17-25.4.el6_9.x86_64
    

    外部链接

    1.BCLinux安全更新


登录后回复
 

与 BC-LINUX 的连接断开,我们正在尝试重连,请耐心等待