• http://www.hsgke.com
  • ITPUB论坛-中国最专业的IT技术社区

     找回密码
     注册
    查看: 2284|回复: 22

    【大话IT】关于Intel CPU设计漏洞,由云服务“中招”所想到?

    [复制链接]
    论坛徽章:
    8
    2015年新春福章
日期:2018-07-19 09:15:50美羊羊
日期:2018-07-19 08:58:41暖羊羊
日期:2018-07-19 11:13:16慢羊羊
日期:2018-07-19 14:57:082017金鸡报晓
日期:2018-07-19 15:25:58目光如炬
日期:2018-07-19 22:00:00秀才
日期:2018-07-19 18:09:28秀才
日期:2018-07-19 11:37:55
    跳转到指定楼层
    1#
    发表于 2018-1-4 16:08 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
    话题背景:
    昨天不少外媒报道了 Intel 芯片级安全漏洞出现,可能导致 Linux 和 Windows 内核关键部分需要重新设计。这个漏洞会导致攻击者从普通程序入口获取推测到本该受到保护的内核内存区域的内容和布局,也就是说,攻击者可以从数据库或者浏览器的 JavaScript 程序获取你的内存信息。
    援引:
    1. 目前已知的消息(我不完全确定是这样)
    2. 此漏洞会导致低权限应用访问到内核内存
    3. 此漏洞是硬件设计导致的,无法使用microcode修复,只能进行OS级的修复
    4. OS级的修复会导致严重的性能问题,将会导致5%-30%的性能下降
    5. 目前phoronix已对此进行了测试,IO性能几乎下降了50%,编译性能下降了接近30%,
    postgresql和redis也有差不多20%的性能下跌,详细地址:
    https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=2

    等等,以上更新目前不确切,以各位坛友的关注回复的最新进度为准。

    讨论问题:
    • 是否了解该漏洞,目前何种进展?都涉及哪些技术层面的问题。
    • 关于该事件,有哪些可行性的修复方法?(借鉴别人的修复方法即可,本帖意在汇总此事件波及的范围和深度。)
    • 是否关注到各大云服务厂商,有哪些动作?从哪些方面做了调整和努力

    活动时间:2018-07-19—1月31号

    活动奖励:
    活动结束后,我们将选取3位讨论精彩的同学,各送一台H3C路由器。



    论坛徽章:
    69
    山治
日期:2018-07-19 19:15:33处女座
日期:2018-07-19 12:27:01秀才
日期:2018-07-19 10:17:19秀才
日期:2018-07-19 09:57:36金牛座
日期:2018-07-19 18:05:22秀才
日期:2018-07-19 10:22:49摩羯座
日期:2018-07-19 16:22:52秀才
日期:2018-07-19 13:02:54秀才
日期:2018-07-19 15:31:10巨蟹座
日期:2018-07-19 12:43:04
    2#
    发表于 2018-1-4 18:09 | 只看该作者
    Meltdown,还有一个对所有超标量的CPU都有影响的spectre
    论坛徽章:
    12
    ITPUB9周年纪念徽章
日期:2018-07-19 09:31:21秀才
日期:2018-07-19 15:16:26秀才
日期:2018-07-19 10:08:08秀才
日期:2018-07-19 09:39:10秀才
日期:2018-07-19 10:08:30知识
日期:2018-07-19 09:22:23秀才
日期:2018-07-19 13:55:21祖母绿
日期:2018-07-19 13:38:41马上有钱
日期:2018-07-19 15:53:11双黄蛋
日期:2018-07-19 11:07:54
    3#
    发表于 2018-1-5 10:14 | 只看该作者
    1.是否了解该漏洞,目前何种进展?都涉及哪些技术层面的问题。

      了解该漏洞信息是从qingcloud公有云的消息通知了解,当前intel官网公布一些硬件厂家的处理办法,
    Acer : 支持信息
    华擎科技: 支持信息
    ASUS: 支持信息
    compulab : 支持信息
    戴尔客户端: 支持信息
    戴尔服务器: 支持信息
    富士通: 支持信息
    getac : 支持信息
    GIGABYTE: 支持信息
    惠普 公司: 支持信息
    Hpe 服务器: 支持信息
    英特尔® NUC 、英特尔® 电脑棒和英特尔® 电脑卡: 支持信息
    英特尔® 服务器: 支持信息
    联想: 支持信息
    Microsoft Surface*: 支持信息
    MSI : 支持信息
    NEC : 支持信息
    Oracle : 支持信息
    Panasonic : 支持信息
    广达/qct : 支持信息
    Supermicro : 支持信息
    东芝: 支持信息
    VAIO : 支持信息
    wiwynn : 支持信息

    具体看链接https://www.intel.cn/content/www ... 25619/software.html

    2.关于该事件,有哪些可行性的修复方法?(借鉴别人的修复方法即可,本帖意在汇总此事件波及的范围和深度。)
    个人联想笔记本小新air 通过检测工具发现有问题(检测工具下载地址https://downloadcenter.intel.com/zh-cn/download/27150
    ),在采用联想的程序包修复,报错终止,未能继续修复,电话咨询客服,说当前只是报道有漏洞,暂无应用案例,当前联想研究人员正在研究,后续补丁包在3月份左右发出。

    其他补丁包可登陆上述intel 提供的各硬件厂商进行尝试

    3.是否关注到各大云服务厂商,有哪些动作?从哪些方面做了调整和努力。

    华三私有云与其沟通,当前在实验室模拟出问题,正在研发补丁进行热修复,预计时间2018-07-19左右。
    qingcloud当前根据公告及实际沟通,目前未发现平台异常,并保持随时关注,有最新突破会提前主动联系用户。

    其他云服务商了解较少,期待后续朋友补充完善。
    认证徽章
    论坛徽章:
    161
    ITPUB十周年纪念徽章
日期:2018-07-19 16:24:04ITPUB 11周年纪念徽章
日期:2018-07-19 17:34:42ITPUB社区12周年站庆徽章
日期:2018-07-19 16:52:38itpub13周年纪念徽章
日期:2018-07-19 15:21:35ITPUB14周年纪念章
日期:2018-07-19 17:23:44蒙奇·D·路飞
日期:2018-07-19 10:45:082017金鸡报晓
日期:2018-07-19 15:33:11状元
日期:2018-07-19 12:58:23榜眼
日期:2018-07-19 12:58:23探花
日期:2018-07-19 12:58:23
    4#
    发表于 2018-1-5 15:44 | 只看该作者
    本帖最后由 hai503 于 2018-1-5 16:02 编辑

    1、是否了解该漏洞,目前何种进展?都涉及哪些技术层面的问题。
    这两天各大网站都在报导,Windows、Linux、macOS、亚马逊AWS、谷歌安卓均中招。

    除了Intel处理器,还波及ARM的Cortex-A架构和AMD处理器。
    Cortex-A目前广泛用于手机SoC平台,包括高通、联发科、三星等等。这样看来,近期也要关注手机系统更新了
    虽然AMD称基于谷歌研究的三种攻击方式,自己的处理器基本免疫。但Spectre(幽灵)漏洞的联合发现者Daniel Gruss(奥地利格拉茨技术大学)称,他基于AMD处理器的Spectre代码攻击模拟相当成功,绝不能低估。

    2、关于该事件,有哪些可行性的修复方法?(借鉴别人的修复方法即可,本帖意在汇总此事件波及的范围和深度。)
    Intel建议关注后续的芯片组更新、主板BIOS更新,但首先,应该把OS级别的补丁打上

    对于Meltdown漏洞:Linux已经发布了KAISER、macOS从10.13.2予以了修复、谷歌号称已经修复,Win10 Insider去年底修复、Win10秋季创意者更新今晨发布了KB4056892,将强制自动安装。

    亚马逊也公布了指导方案。

    对于难度更高的Spectre漏洞,目前仍在攻坚。

    3、是否关注到各大云服务厂商,有哪些动作?从哪些方面做了调整和努力
    Azure服务器已经在通知用户后重启,应该是打了最新的OS补丁。https://azure.microsoft.com/en-u ... -cpu-vulnerability/

    AWS公布了指导方案:https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

    关于漏洞修复后的性能下降,不由自主的会和iPhone的“电池门”联系起来,厂商推进“硬件淘汰”,似乎都有 超凡的“远见”……

    认证徽章
    论坛徽章:
    161
    ITPUB十周年纪念徽章
日期:2018-07-19 16:24:04ITPUB 11周年纪念徽章
日期:2018-07-19 17:34:42ITPUB社区12周年站庆徽章
日期:2018-07-19 16:52:38itpub13周年纪念徽章
日期:2018-07-19 15:21:35ITPUB14周年纪念章
日期:2018-07-19 17:23:44蒙奇·D·路飞
日期:2018-07-19 10:45:082017金鸡报晓
日期:2018-07-19 15:33:11状元
日期:2018-07-19 12:58:23榜眼
日期:2018-07-19 12:58:23探花
日期:2018-07-19 12:58:23
    5#
    发表于 2018-1-5 15:49 | 只看该作者
    再说句题外话,CPU的漏洞真的是“漏洞”吗?
    会不会是预留的backdoor?!!
    是道德的沦丧,还是人性的扭曲?请各位继续讨论~~
    认证徽章
    论坛徽章:
    329
    秀才
日期:2018-07-19 09:00:132009架构师大会纪念徽章
日期:2018-07-19 17:48:20秀才
日期:2018-07-19 15:08:59榜眼
日期:2018-07-19 16:04:23秀才
日期:2018-07-19 12:49:25嫦娥
日期:2018-07-19 09:11:54秀才
日期:2018-07-19 09:00:17秀才
日期:2018-07-19 09:23:47状元
日期:2018-07-19 10:49:17秀才
日期:2018-07-19 10:34:54
    6#
    发表于 2018-1-6 16:37 | 只看该作者
    本帖最后由 help01 于 2018-1-7 10:24 编辑

    1、是否了解该漏洞,目前何种进展?都涉及哪些技术层面的问题。
    这次主要是Meltdown和Spectre两个安全漏洞,Meltdown可以允许低权限、用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露,会影响到台式、笔记本和云设备;而Spectre则可以骗过安全检查程序,使得应用程序访问内存的任意位置,除了会影响到台式、笔记本和云设备,还会额外影响智能手机,对云服务提供商的威胁更大。每一个1995年后的处理器都会受到这个漏洞影响,所有芯片厂商(Intel, AMD, ARM)和主要的操作系统(Windows, Linux, macOS, Android, ChromeOS)、云服务提供者 (Amazon, Google, Microsoft) 都会有影响。

    2、关于该事件,有哪些可行性的修复方法?
    1)升级网页浏览器到最新版。现在恶意攻击主要是通过联网进行,所以网页浏览器是一道不可忽视的防线,微软已经放出了新版Edge和IE浏览器封堵漏洞,Google、苹果将在之后的Chrome 64和Safari提供安全补丁,Firefox可更新到57版来修补。
    2)升级操作系统最新安全补丁。微软已于近日为Windows 10推送了安全补丁更新,而苹果早在去年十二月的IOS11.2和macOS 10.13.2上针对Meltdown做了缓解措施。
    3)根据电脑主板的型号到厂商官方网站查询支持信息,看是否有新版固件、BIOS升级。

    3、是否关注到各大云服务厂商,有哪些动作?从哪些方面做了调整和努力
    为解决该安全问题,腾讯云将于北京时间2018-07-19凌晨01:00-05:00通过热升级技术对硬件平台和虚拟化平台进行后端修复,期间客户业务不会受到影响。对于极少量不支持热升级方式的服务器,腾讯云另行安排时间手动重启修复。
    云服务商亚马逊,则在弹性计算云系统EC2中进行了漏洞修复,并发布了通告。
    其他诸如华为,阿里,金山,微软,京东,百度等服务商都准备或已经启动应急措施推进漏洞修复。
    论坛徽章:
    69
    山治
日期:2018-07-19 19:15:33处女座
日期:2018-07-19 12:27:01秀才
日期:2018-07-19 10:17:19秀才
日期:2018-07-19 09:57:36金牛座
日期:2018-07-19 18:05:22秀才
日期:2018-07-19 10:22:49摩羯座
日期:2018-07-19 16:22:52秀才
日期:2018-07-19 13:02:54秀才
日期:2018-07-19 15:31:10巨蟹座
日期:2018-07-19 12:43:04
    7#
    发表于 2018-1-6 19:12 | 只看该作者
    hai503 发表于 2018-1-5 15:49
    再说句题外话,CPU的漏洞真的是“漏洞”吗?
    会不会是预留的backdoor?!!
    是道德的沦丧,还是人性的扭 ...

    如果相信这种阴谋论的人基本不是做IT的,这个漏洞在超标量CPU乱序执行和分支预测几乎必然的结果。包括所谓国产安全的龙芯也是超标量乱序执行的CPU。近10年的主流CPU,恐怕也就POWER6不是乱序执行的了。
    论坛徽章:
    62
    林肯
日期:2018-07-19 15:57:33路虎
日期:2018-07-19 14:35:49马自达
日期:2018-07-19 13:52:31三菱
日期:2018-07-19 11:21:19现代
日期:2018-07-19 14:39:50雪佛兰
日期:2018-07-19 15:55:00一汽
日期:2018-07-19 14:15:05技术图书徽章
日期:2018-07-19 10:11:35技术图书徽章
日期:2018-07-19 10:10:51技术图书徽章
日期:2018-07-19 10:54:13
    8#
    发表于 2018-1-8 09:00 | 只看该作者
    站位, 更新!
    认证徽章
    论坛徽章:
    161
    ITPUB十周年纪念徽章
日期:2018-07-19 16:24:04ITPUB 11周年纪念徽章
日期:2018-07-19 17:34:42ITPUB社区12周年站庆徽章
日期:2018-07-19 16:52:38itpub13周年纪念徽章
日期:2018-07-19 15:21:35ITPUB14周年纪念章
日期:2018-07-19 17:23:44蒙奇·D·路飞
日期:2018-07-19 10:45:082017金鸡报晓
日期:2018-07-19 15:33:11状元
日期:2018-07-19 12:58:23榜眼
日期:2018-07-19 12:58:23探花
日期:2018-07-19 12:58:23
    9#
    发表于 2018-1-8 09:32 | 只看该作者
    wolfop 发表于 2018-1-6 19:12
    如果相信这种阴谋论的人基本不是做IT的,这个漏洞在超标量CPU乱序执行和分支预测几乎必然的结果。包括所 ...

    前辈说的是!
    认证徽章
    论坛徽章:
    161
    ITPUB十周年纪念徽章
日期:2018-07-19 16:24:04ITPUB 11周年纪念徽章
日期:2018-07-19 17:34:42ITPUB社区12周年站庆徽章
日期:2018-07-19 16:52:38itpub13周年纪念徽章
日期:2018-07-19 15:21:35ITPUB14周年纪念章
日期:2018-07-19 17:23:44蒙奇·D·路飞
日期:2018-07-19 10:45:082017金鸡报晓
日期:2018-07-19 15:33:11状元
日期:2018-07-19 12:58:23榜眼
日期:2018-07-19 12:58:23探花
日期:2018-07-19 12:58:23
    10#
    发表于 2018-1-8 09:40 | 只看该作者
    最新:
    CentOS团队近日面向64位(x86_64)CentOS 7在内的多个版本发布内核安全补丁,重点修复了日前爆发的Meltdown(熔断)和Spectre(幽灵)两个漏洞。CentOS 7基于Red Hat Enterprise Linux 7,本次发布的安全更新是在Red Hat近期发布的修复补丁上进行定制优化的。

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    -海伦路街道论坛,海伦路街道社区 - www-bbs-zpu.dig888.com
    DTCC2018购票6.8折优惠进行时

    中国数据库技术大会是国内数据库及大数据领域规模最大、最受欢迎的技术交流盛会。 2018年5月10-12日,第九届中国数据库技术大会将如约而至。本届大会以“数领先机•智赢未来”为主题,设定2大主会场及20个技术专场,邀请来自国内外互联网、金融、教育等行业百余位技术专家,共同探讨Oracle、MySQL、NoSQL、大数据等领域的前瞻性热点话题与技术。
    ----------------------------------------
    优惠时间:2018-07-19前

    报名链接>>
    富拉尔基区论坛 莫力达瓦旗论坛 南康论坛 狮泉河论坛 海荣新村论坛
    晋源区论坛 阜宁县论坛 松溪县论坛 莫力达瓦旗论坛 延安镇论坛
    电子杂志 虎吧 老博客 读书频道 积分竞拍 文本模式 帮助
      IT博客
      ChinaUnix | ChinaUnix博客 | ChinaUnix论坛 | SAP ERP系统
    CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 网站律师 隐私政策 知识产权声明
    京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
      
    快速回复 返回顶部 返回列表
    峨边彝族自治县论坛 威信县论坛 临潭县论坛 云霄县论坛 尖草坪区论坛
    石狮市论坛 湖州论坛 沈北新区论坛 叶城县论坛 那陈镇论坛