Linux镜像如何开启或关闭intelCPU漏洞补丁
所有文档
menu

云服务器 BCC

Linux镜像如何开启或关闭intelCPU漏洞补丁

产品详情自助选购

概述

本文主要介绍Linux镜像如何开启或关闭Meltdown与Spectre、MDS等漏洞修复的方法。

Meltdown与Spectre

漏洞详情

Meltdown(CVE-2017-5754)与Spectre(CVE-2017-5715/CVE-2017-5753)存在于英特尔(Intel)处理器芯片的安全漏洞,该漏洞源于芯片硬件层面的设计缺陷,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。

漏洞编号:

CVE-2017-5753

CVE-2017-5715

CVE-2017-5754

Linux内核社区已经针对上述问题提出了缓解措施,但部分缓解措施存在副作用,会导致系统的运行效率有较大幅度下降,目前百度智能云在GuestOS中默认关闭Meltdown与Spectre漏洞的修复,以保证GuestOS的性能。

image.png

SRSO

漏洞详情

SRSO(CVE-2023-20569)是一个存在于AMD处理器芯片的安全漏洞。该漏洞与AMD处理器的推测执行机制、返回栈缓冲区溢出相关,可能会导致数据泄露、系统破坏等潜在安全风险。

当前许多最新版本的操作系统内核已经默认合入了AMD SRSO漏洞缓解措施SafeRET,并且默认为开启状态。然而,这些缓解措施会导致处理器性能有较为明显的下降。

根据AMD官方发布的针对公有云用户的SRSO漏洞缓解措施的选项与考虑因素文档,AMD认为,在典型的生产环境中,与SRSO相关的整体安全风险较低。对于使用常见侧信道道保护的典型生产环境中的云用户,AMD认为在配置操作系统时禁用SafeRET是合理的。

目前,百度智能云在公共镜像中默认关闭了SRSO漏洞的缓解措施(内核启动参数添加spec_rstack_overflow=off),以保证GuestOS的性能。用户可以根据自身业务安全需求,决定是否使用安全缓解措施(在内核启动参数中移除spec_rstack_overflow=off)。

MDS

漏洞详情

Intel “Micro Architectural Data Sampling (MDS)“,该漏洞可能通过侧信道攻击的方式,导致未经授权的一些敏感数据泄露。

漏洞编号

image.png

影响范围

Intel相应型号的CPU芯片,详情请参见Intel安全公告。

如何开启或者关闭MDS漏洞修复

目前Linux发行版社区针对MDS漏洞,已通过更新内核补丁来修复处理器漏洞。

以下几种镜像为涉及的公共镜像:

  • centos 7 / 8
  • debian 9 /10
  • ubuntu 16.04 / 18.04 【 ubuntu-20.04内核不受影响】
  • opensuse 15

漏洞的修复可能会带来比较明显的性能回退,如果用户对性能需求比较敏感,可通过关闭修复的方式来提升性能。

image.png

社区修复情况

OS发行版修复后的内核版本社区


CentOS

6kernel-2.6.32-754.14.2.el6https://access.redhat.com/errata/RHSA-2019:1169
7kernel-3.10.0-957.12.2.el7https://access.redhat.com/errata/RHSA-2019:1168
8kernel-4.18.0-80.1.2.el8_0https://access.redhat.com/errata/RHSA-2019:1167

Ubuntu

16.04 ESM (Xenial Xerus)Released (4.4.0-148.174)

18.04 LTS (Bionic Beaver)Released (4.15.0-50.54)

20.04 LTS (Focal Fossa)Not vulnerable (5.4.0-9.12)
Debian


上一篇
fstab配置导致系统启动异常如何处理
下一篇
Ubunut16.04订阅扩展安全维护(ESM)