政府電腦保安事故協調中心 - 高危保安警報 (A18-01-05): Linux/Unix 操作系統多個漏洞

描述:

Google Project Zero 近期披露了兩個名為「Meltdown」和「Spectre」的保安問題影響大多數 Linux/Unix 操作系統。該問題通過旁路分析(side-channel analysis)來攻擊現今 CPU 微型處理器中的推測執行(speculative execution)功能，讓未授權的程序(例如惡意程式)能夠讀取儲存在另一運行程序中記憶體內的數據。攻擊者需要在受影響的系統上執行惡意程式或透過特製內容的網頁從而攻擊這些保安問題。

用戶應立即採取行動修補受影響 Linux/Unix 操作系統以降低「Meltdown」及「Spectre」的 CPU 問題的風險。

受影響的系統:

所有 Linux / Unix 操作系統(32位元和64位元)

影響:

成功利用這些漏洞可以導致遠端執行程式碼、提高權限或泄漏資訊。

建議:

有些產品供應商已經或計劃修補他們以下的 Linux/Unix 系統。該列表並不包括所有受影響的系統，我們建議你諮詢產品供應商以確定修補程式的情況。系統管理員應遵從產品供應商的建議，立即採取行動以降低風險。

CentOS 6
https://lists.centos.org/pipermail/centos-announce/2018-January/022701.html
CentOS 7
https://lists.centos.org/pipermail/centos-announce/2018-January/022696.html
Debian
https://security-tracker.debian.org/tracker/CVE-2017-5754
IBM AIX
https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family
macOS
https://support.apple.com/en-hk/HT208331
https://support.apple.com/en-hk/HT208397
Oracle Linux
https://linux.oracle.com/errata/ELSA-2018-4004.html
RedHat
https://access.redhat.com/security/vulnerabilities/speculativeexecution
SUSE
https://www.suse.com/support/kb/doc/?id=7022512
https://www.suse.com/support/update/announcement/2018/suse-su-20180031-1
Ubuntu
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

進一步資訊:

https://googleprojectzero.blogspot.hk/2018/01/reading-privileged-memory-with-side.html
https://meltdownattack.com/
https://spectreattack.com/
https://www.hkcert.org/my_url/zh/alert/18010401
https://www.us-cert.gov/ncas/current-activity/2018/01/03/Meltdown-and-Spectre-Side-Channel-Vulnerabilities
http://www.kb.cert.org/vuls/id/584653
https://www.ncsc.gov.uk/guidance/meltdown-and-spectre-guidance
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754

標籤 : Linux , Unix , Meltdown , Spectre