近日,Google Project Zero 和奥地利格拉茨技术大学等机构的研究人员正式披露了三个处理器高危漏洞,分别编号为 CVE-2017-5753(Variant 1)、CVE-2017-5715(Variant 2)和 CVE-2017-5754(Variant 3),前两个漏洞被称为 Spectre,后一个漏洞被称为 Meltdown。AMD 和 ARM 已经发表声明称漏洞可以通过软件修正,对性能影响不大。而英特尔处理器的软件修正则被认为存在显著的性能影响。Meltdown 破坏了用户应用程序和操作系统直接的最基本隔离,允许一个程序访问内存,获取其它应用程序和操作系统的秘密;Spectre 破坏了不同应用程序之间的隔离,允许攻击者诱骗没有错误的程序泄漏秘密。
面对处理器的底层高危漏洞,各云服务厂商表态如下。
亚马逊云服务
亚马逊云服务AWS 1月4日在官网发布通知,并在1月6日将通知更新,表示所有EC2实例都已经受到保护,并没有观察到对绝大多数EC2工作负载有意义的性能影响。目前在官方网站上该通知未翻译成中文。
微软 Azure
微软1月4日通过Azure Blog发布博客文章,博客中称,Azure 的大部分基础设施已经完成更新以修复这个漏洞。还有一部分组件仍在更新当中,需要客户重新启动虚拟机以使安全更新生效。安全漏洞的披露,让Azure正在加快计划的维护时间,国际版Azure宣布在北京时间2018年1月4日上午7:30开始自动重启剩余受影响的虚拟机,而由世纪互联运营的国内版Azure宣布在北京时间 2018 年 1 月 4 日上午 11:30 开始自动重启剩余受影响的虚拟机。
谷歌1月4日通过Google Security Online Blog 发布博客文章,针对的CPU 漏洞 Spectre(Variant 1 和 2)和 Meltdown(Variant 3)进行说明。博客称谷歌开发的二进制修改技术 Retpoline 能有效缓解 Variant 2 的漏洞,对性能影响甚微,Retpoline技术已与Google的合作厂商分享。同时,Google还部署了KPTI(Kernel Page Table Isolation,内核页表隔离)补丁。
阿里云
阿里云1月5日在云栖社区、阿里云官网发布持续更新的“重要通知”,表示已经启动了云平台底层基础架构的漏洞修复更新,最迟于北京时间1月12日24点之前完成。部分内容如下。
该方案由于采用了热升级方式,正常情况下不会对客户业务带来影响。由于此隐患涉及过去10年间Intel的绝大部分CPU型号,已知有部分场景下不支持热升级方案。与之相关的客户我们会另行提前通知,请确保预留的联系方式(手机、邮箱)畅通。我们建议客户根据业务情况,提前调整和准备运营预案,妥善备份重要业务数据。
腾讯云
腾讯云1月5日在新浪微博发布置顶微博,表示将于北京时间2018年1月10日凌晨01:00-05:00通过热升级技术对硬件平台和虚拟化平台进行后端修复。
金山云
金山云1月5日官网发布公告,公告如下。
外界安全研究人员发现Intel CPU存在安全漏洞,问题覆盖过去10年内Intel绝大部分CPU型号。一旦漏洞被利用,同一物理空间内将存在提权风险。根据金山云掌握的威胁情报,目前还未出现漏洞被利用的案例。金山云与我们的战略级合作伙伴Intel就此问题已进行协商,Intel会提供漏洞修补的技术方案,金山云将持续跟进此问题,并将在第一时间进行升级修复,解除用户后顾之忧。
由此给您带来的不便我们深表歉意,后续有任何进展会及时同步给您,感谢您的理解与支持!
华为云
华为云1月4日在官方网站上发布通知,表示计划于北京时间2018年1月11日凌晨0点开始对基础平台进行升级。部分通知内容如下。
Intel处理器近日被爆出因设计缺陷存在信息泄露漏洞,可导致Windows和Linux系统应用程序越权访问系统内核数据。
截至此公告发布,没有监测到针对此漏洞的攻击事件。
华为云计划于北京时间2018年1月11日凌晨0点开始对基础平台进行升级,修复处理器信息泄露漏洞,升级过程可能需要部分用户配合实施重启操作,建议客户根据业务情况,提前准备运营预案,妥善备份重要业务数据。
虽然华为云执行的更新可保护底层基础架构,但为了完整的修复问题,客户还必须升级其虚拟机操作系统,升级的信息后续给出。
华为云将同步更新虚拟机镜像。
有任何进展,华为云会第一时间知会客户,请关注华为云公告并保证通讯方式(email、电话)畅通。
中国电信天翼云
中国电信天翼云在1月4日的官方微信公众号发布通知,部分通知内容如下。
将该CPU漏洞定位为最高级别的紧急漏洞,表示目前已经获得操作系统及服务器厂家的防护技术支持,正在对漏洞进行分析评估,跟进主流操作系统发布补丁的情况。同时关注互联网上针对此漏洞的利用信息,截至目前尚未监测到有针对此漏洞的攻击程序,但是不排除近期会有攻击程序出现的可能。
1月5日,官方微信公众号发布声明,表示计划在2018年1月11日凌晨0点开始对云平台进行升级。
青云
青云1月5日晚在新浪微博发布微博并在官方博客上发布通知,列出了介绍三种Variant的链接,表示仅Spectre的Variant 2会对青云存在影响。通知全文如下。
尊敬的用户:
对于近期爆出的 Intel CPU 芯片漏洞的安全问题,青云QingCloud 一直在密切观察和研究,并和 Intel 保持沟通。根据目前最新确认的信息,该漏洞一共有三种利用方式:
1) bounds check bypass [CVE-2017-5753]
2) branch target injection [CVE-2017-5715]
3) rogue data cache load [CVE-2017-5754]
对于青云QingCloud 云平台而言,方式 1 和 3 已确定没有影响;方式 2 可能存在安全风险,但截止目前,还没有出现漏洞被利用的案例。针对该漏洞风险,我们已经制定了应对方案,并将于近期对云平台进行在线补丁修复。绝大部分用户对该修复操作将无任何感知,对于可能受到影响的极小部分用户,我们会另行通知。请您持续留意青云QingCloud的官方通知。
对于用户的虚拟机而言,方式1/2/3都可能产生影响,原理上攻击者可利用漏洞越权获取本地信息。为彻底规避该风险,您需要对操作系统进行补丁更新来完成修复工作。但由于漏洞的利用难度较高,请您根据自身业务情况决定是否需要立即升级修复漏洞。待主流的操作系统厂商提供正式补丁之后,青云QingCloud 会第一时间提供最新的模板。
关于此次漏洞的修复进展,请留意青云QingCloud 的官方通知,我们会第一时间更新。有任何问题,请随时通过工单与我们联系。
Ucloud
Ucloud 1月4日在官方博客公告,公告全文如下。
尊敬的UCloud用户,您好!
关于Intel CPU重大安全漏洞,UCloud 已经获得企业级战略合作伙伴Intel提供的修复信息,经过分析和研究,目前正在积极开展后续的修复安排,包括漏洞检测方法和入侵检测方法的研究、修复方案的验证、部署方案的实施准备,同时基于UCloud热升级技术制定的免重启修复方案也正在试运行。UCloud会在修复方案稳定可行后第一时间在云平台进行部署。根据Intel和业内的进展,目前纯软件包括虚拟化层的方法暂时无法完全修复本次所有漏洞,UCloud正在和相关厂商及国内外安全专家一起研究更完美的解决方案。新进展情况及保障措施我们会在第一时间如实告知大家。
百度云
百度云1月4日在新浪财经上发布公告,表示2018年1月12日零点进行热修复升级。公告全文如下。
百度云自发现问题时就第一时间启动应急措施,积极推进漏洞修复。修复在两个层次进行。1、对于虚拟机系统,根据各个系统的osv厂商做的修复及时更新,用户也只需要及时更新补丁,百度云会及时通知用户并提供修复方式,另外在新的系统镜像上会做更新。2、在云平台的物理机层面,将于2018年1月12日零点进行热修复升级,此类修复不影响客户业务,但因为涉及的改动比较大,涉及cpu型号广,可能会存在有虚拟机无法热升级修复的情况,届时如果需要用户参与,会及时与用户协商时间执行手动重启修复。
