高危保安警报 (A18-01-05): Linux/Unix 操作系统多个漏洞

描述:

Google Project Zero 近期披露了两个名为「Meltdown」和「Spectre」的保安问题影响大多数 Linux/Unix 操作系统。该问题通过旁路分析(side-channel analysis)来攻击现今 CPU 微型处理器中的推测执行(speculative execution)功能，让未授权的程序(例如恶意程式)能够读取储存在另一运行程序中记忆体内的数据。攻击者需要在受影响的系统上执行恶意程式或透过特制内容的网页从而攻击这些保安问题。

用户应立即采取行动修补受影响 Linux/Unix 操作系统以降低「Meltdown」及「Spectre」的 CPU 问题的风险。

受影响的系统:

所有 Linux / Unix 操作系统(32位元和64位元)

影响:

成功利用这些漏洞可以导致远端执行程式码、提高权限或泄漏资讯。

建议:

有些产品供应商已经或计划修补他们以下的 Linux/Unix 系统。该列表并不包括所有受影响的系统，我们建议你咨询产品供应商以确定修补程式的情况。系统管理员应遵从产品供应商的建议，立即采取行动以降低风险。

• CentOS 6
  https://lists.centos.org/pipermail/centos-announce/2018-January/022701.html
  
  
• CentOS 7
  https://lists.centos.org/pipermail/centos-announce/2018-January/022696.html
  
  
• Debian
  https://security-tracker.debian.org/tracker/CVE-2017-5754
  
  
• IBM AIX
  https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family
  
  
• macOS
  https://support.apple.com/en-hk/HT208331
  https://support.apple.com/en-hk/HT208397
  
  
• Oracle Linux
  https://linux.oracle.com/errata/ELSA-2018-4004.html
  
  
• RedHat
  https://access.redhat.com/security/vulnerabilities/speculativeexecution
  
  
• SUSE
  https://www.suse.com/support/kb/doc/?id=7022512
  https://www.suse.com/support/update/announcement/2018/suse-su-20180031-1
  
  
• Ubuntu
  https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
  
  

进一步信息:

https://googleprojectzero.blogspot.hk/2018/01/reading-privileged-memory-with-side.html
https://meltdownattack.com/
https://spectreattack.com/
https://www.hkcert.org/my_url/zh/alert/18010401
https://www.us-cert.gov/ncas/current-activity/2018/01/03/Meltdown-and-Spectre-Side-Channel-Vulnerabilities
http://www.kb.cert.org/vuls/id/584653
https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754