史上最大CPU缺陷Meltdown融毀和Spectre幽靈來襲，各網絡設備廠家反饋以及解決方案彙總

2018新年快樂

新年好，轉眼就到了2018。首先祝福你們新年快樂，萬事如意！

熱鬧的一月

就在你們剛享受完短暫的元旦假期，1月3號互聯網上就爆出了一個很是勁爆的消息，Intel，AMD，ARM的CPU暴露兩個重大Bug，分別稱爲Meltdown融毀以及Spectre幽靈，當今全部的CPU都暴露在此Bug之下。***者能夠經過這些Bug在CPU層面獲取包括密碼等我的敏感信息。

Meltdown融毀和Spectre幽靈***簡介

若要詳細展開說融毀和幽靈***的原理，一時半會也說不完。有興趣的能夠閱讀Google Zero團隊的文章《Reading privileged memory with a side-channel》

爲了讓你們對此CPU缺陷有個大體的瞭解，我使用了一種通俗但不太準確的解釋以下：

---

正常狀況下，咱們電腦的CPU爲了提升運行效率，會自做聰明的猜想用戶程序的動做。例如某個程序持續性的讀取某個內容n次，那麼CPU會認爲此程序在第N+1次也會繼續讀取相關內容。所以CPU會提早把它預測的N+1次內容提早讀取並存入高速Cache緩存中。
大機率狀況下，CPU都猜對了，從而提升了工做效率。但再聰明的CPU也有犯錯誤的時候。

---

若是CPU在第N+1次猜錯了怎麼辦？

---

無所謂，猜錯了就把剛剛提取的錯誤內容從高速Cache緩存裏面丟棄就好了。再按照程序的要求從新讀取正確的內容就好了。
可就在CPU判斷是否猜錯以前，存在那麼一種時間窗口，經過某種手段可以把提取錯的內容從Cache裏面竊取到手。

---

***者就藉助這個設計上的缺陷，編寫程序製造某個持續性動做，使得CPU自做聰明預測程序N+1次的動做。而***者程序會在第N+1個動做的時候，刻意改變其持續已久的動做從而讓CPU犯錯！
宏觀上來講，當犯錯積累到必定量時***者就能成功竊取出數據流，速度大體在100k每秒。這100k足夠竊取你的密碼了。

---

針對以上CPU缺陷和不一樣的CPU平臺以及技術手段，又衍生出兩種***方式：Meltdown融毀 和 Spectre幽靈。

爲了讓你們快速瞭解二者的區別，做表以下：

	Spectre幽靈	Meltdown融毀
CPU機制	基於分支的預測執行	亂序執行
影響平臺	Intel，AMD，ARM CPU	Intel平臺CPU
***難度	高難度	低難度
影響範圍	跨進程和進程內部(包括內核)的內存泄漏	內核內存能夠泄漏到用戶空間

Meltdown融毀和Spectre幽靈影響波及範圍

理論上來講，從如今回溯20年，全部的CPU，不管電腦，手機，雲計算產品都在此影響範圍內。

正如上表所述，AMD和ARM的CPU僅僅受到了Spectre幽靈***的影響，而Intel的CPU則是同時受到了二者的威脅。
幸運的時，對於AMD和ARM來講，一方面Spectre幽靈***難度極高，須要用戶進程和系統內核配合才行，時機很重要。另一方面，AMD和ARM能夠經過軟件補丁搞定此缺陷。
而Intel就沒有那麼幸運了，因爲是硬件設計的緣由，沒法簡單經過軟件修補解決問題，只能經過一些變通的笨辦法解決此問題。而這些笨辦法致使Intel的CPU性能降低最高30%。
（無獨有偶，Intel CEO Brian Krzanich 在Google於2017年6月通知他們此漏洞以後的幾個月內把我的持有的市值2400萬美圓的Intel股票全變現了，這不就是赤裸裸準備跑路的節奏。）

CPU缺陷的另外一個重災區： IT基礎設施

就在你們都在討論此CPU缺陷如何影響我的電腦設備以及移動設備時，做爲IT工程師的咱們，更應該關注於身邊的IT基礎設施，例如路由器，交換機，服務器等。
畢竟現現在的絕大部分設備均採用以Intel爲首的x86架構CPU。一旦基礎設備遭受到此類型的***，形成的後果不堪設想。爲了及時避免此問題，及時打上廠商提供的補丁變得尤爲緊迫。
爲了便於你們查找，我彙總了平常工做中常見廠商針對此CPU缺陷的反饋意見以及補丁鏈接。但願對你們有幫助。

-----------分割線---------

廠商CPU缺陷反饋意見彙總

Cisco 思科 戳我進入Cisco原文連接

Cisco官方總結：

若是***者要利用這些漏洞中的任何一個，他必須可以在受影響的設備上運行精心製做的代碼。 儘管產品或服務中的底層CPU和操做系統組合可能會受到這些漏洞的影響，但大多數思科產品都是封閉系統，不容許客戶運行自定義代碼，所以不易受到***。 沒有載體來利用它們。
只有當思科產品容許客戶在同一個CPU下同時執行自定義代碼和思科的代碼時，思科產品才被認爲是潛在的脆弱點。
雖然思科產品可能做爲虛擬機或容器部署，且自身並不會直接受到此***的影響。可是若是主機環境容易受***的話，這些思科虛擬機或者容器就容易成爲***目標。
思科建議客戶增強其虛擬環境，嚴格控制用戶訪問，並確保安裝全部安全更新。
雖然思科雲服務不直接受到這些漏洞的影響，但他們運行的基礎架構可能會受到影響。 有關這些漏洞對思科雲服務的影響，請參閱此通報的「受影響的產品」部分。思科將發佈解決這些漏洞的軟件更新。

- 確認存在安全隱患的產品：

- 正在調查中的產品：

Collaboration and Social Media
Cisco Meeting Server

Network Application, Service, and Acceleration
Cisco vBond Orchestrator
Cisco vEdge 5000
Cisco vEdge Cloud
Cisco vManage NMS
Cisco vSmart Controller

Routing and Switching - Enterprise and Service Provider
Cisco 4000 Series Integrated Services Routers (IOS XE Open Service Containers)
Cisco ASR 1000 Series Aggregation Services Routers with RP2 or RP3 (IOS XE Open Service Containers)
Cisco ASR 1001-HX Series Aggregation Services Routers (IOS XE Open Service Containers)
Cisco ASR 1001-X Series Aggregation Services Routers (IOS XE Open Service Containers)
Cisco ASR 1002-HX Series Aggregation Services Routers (IOS XE Open Service Containers)
Cisco ASR 1002-X Series Aggregation Services Routers (IOS XE Open Service Containers)
Cisco Catalyst 9300 Series Switches (IOx feature)
Cisco Catalyst 9400 Series Switches (IOx feature)
Cisco Catalyst 9500 Series Switches (IOx feature)
Cisco Cloud Services Router 1000V Series (IOS XE Open Service Containers)
Cisco Industrial Ethernet 4000 Series Switches (IOx feature)
Cisco Nexus 4000 Series Blade Switches
Cisco Nexus 6000 Series Switches
Cisco Nexus 7000 Series Switches
Cisco Nexus 9000 Series Switches - Standalone, NX-OS mode
Cisco c800 Series Integrated Services Routers

- 確認沒有安全隱患的產品：

思科已經確認這些漏洞不會影響如下產品或雲服務：

Network Application, Service, and Acceleration
Cisco vEdge 1000
Cisco vEdge 100
Cisco vEdge 2000

Routing and Switching - Enterprise and Service Provider
Cisco 1000 Series Connected Grid Routers
Cisco 500 Series WPAN Industrial Routers (IOx feature)
Cisco ASR 1001 Fixed Configuration Aggregation Services Router
Cisco ASR 1002 Fixed Configuration Aggregation Services Router
Cisco ASR 1002-F Fixed Configuration Aggregation Services Router
Cisco Catalyst 3650 Series Switches
Cisco Catalyst 3850 Series Switches

Cisco Cloud Hosted Services
Cisco Cloudlock
Cisco Meraki
Cisco Spark
Cisco Umbrella
Cisco WebEx Centers - Meeting Center, Training Center, Event Center, Support Center

華爲 戳我進入Huawei原文連接

華爲官方總結：

Note:

[1] 需升級BIOS組件到V382版本，升級iBMC組件到V268版本。除以上組件外，還須要升級操做系統補丁，其中操做系統補丁由操做系統供應商提供。
[2] 需升級BIOS組件到V055版本，升級iBMC組件到V270版本。除以上組件外，還須要升級操做系統補丁，其中操做系統補丁由操做系統供應商提供。

Juniper 戳我進入Juniper原文連接

Juniper官方總結：

Juniper SIRT正在積極研究對Juniper網絡產品和服務的影響。若是以容許未簽名的代碼執行的方式部署，如下產品可能會受到影響：

• Junos OS based platforms
• Junos Space appliance
• Qfabric Director
• CTP Series
• NSMXpress/NSM3000/NSM4000 appliances
• STRM/Juniper Secure Analytics (JSA) appliances
• SRC/C Series

  - 確認沒有安全隱患的產品：

  如下產品不受影響。 他們不具有利用這些漏洞所需的場景：

• ScreenOS / Netscreen platforms
• JUNOSe / E Series platforms
• BTI platforms
• Cyphort appliance
  Juniper正在繼續調查他們的產品組合，以瞭解上述未說起的受影響產品。 在可能的狀況下，Juniper將會開發防止這類***的修復程序。 到時候JSA會隨之而更新。

Nokia（阿朗） 戳我進入Nokia原文連接，須要OLCS登錄帳戶

Nokia官方總結：

諾基亞IP路由使用私有系統不會受到CPU缺陷的影響。

SR / SR MG / SAS / SAR / SAR-Hm / IXR路由器不受影響。
諾基亞IP路由器是運行SR操做系統的封閉系統，這個操做系統是諾基亞專有的，不像通用操做系統不容許用戶執行代碼，從而防止***者利用諸如熔燬/幽靈等處理器漏洞。
VSR / VMG（CMG）虛擬機不會受到Meltdown和Spectre處理器漏洞的直接影響，但主機系統易受***。
要採起的措施：
對於VSR / VMG（CMG）部署，諾基亞建議遵循主機操做系統和管理程序製造商安全 來自RedHat，CentOS，Ubuntu或VMware的補丁建議; 取決於部署的平臺。

Vmware 戳我進入Vmware原文連接

Vmware官方總結：

請查看產品和版本的補丁/發行說明

VMware ESXi 6.5
Downloads:
https://my.vmware.com/group/vmware/patch
Documentation:
http://kb.vmware.com/kb/2151099

VMware ESXi 6.0
Downloads:
https://my.vmware.com/group/vmware/patch
Documentation:
http://kb.vmware.com/kb/2151132

VMware ESXi 5.5
Downloads:
https://my.vmware.com/group/vmware/patch
Documentation:
http://kb.vmware.com/kb/2150876

VMware Workstation Pro, Player 12.5.8

Downloads and Documentation:
https://www.vmware.com/go/downloadworkstation
https://www.vmware.com/support/pubs/ws_pubs.html

VMware Fusion Pro / Fusion 12.5.9
Downloads and Documentation:
https://www.vmware.com/go/downloadfusion
https://www.vmware.com/support/pubs/fusion_pubs.html

Checkpoint 戳我進入Checkpoint原文連接

Checkpoint官方總結：

因爲Check Point設備上的代碼執行權限僅提供給管理員，所以這些特權升級***與Check Point設備的相關性較低。

F5 戳我進入F5原文連接

F5官方總結：

下表標記爲「None」的產品，這次CPU缺陷對其沒有任何影響。
標記爲 * 的產品， F5仍在研究此問題，並在確認所需信息後更新本文。 F5技術支持沒有關於此問題的其餘信息。

紅帽Redhat 戳我進入Redhat原文連接

紅帽Redhat官方總結：

紅帽產品安全已將此更新評爲重要的安全影響。下列紅帽產品版本受到影響：

• Red Hat Enterprise Linux 5

• Red Hat Enterprise Linux 6

• Red Hat Enterprise Linux 7

• Red Hat Atomic Host

• Red Hat Enterprise MRG 2

• Red Hat OpenShift Online v2

• Red Hat OpenShift Online v3

• Red Hat Virtualization (RHEV-H/RHV-H)

• Red Hat Enterprise Linux OpenStack Platform 6.0 (Juno)

• Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) for RHEL7

• Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) director for RHEL7

• Red Hat OpenStack Platform 8.0 (Liberty)

• Red Hat OpenStack Platform 8.0 (Liberty) director

• Red Hat OpenStack Platform 9.0 (Mitaka)

• Red Hat OpenStack Platform 9.0 (Mitaka) director

• Red Hat OpenStack Platform 10.0 (Newton)

• Red Hat OpenStack Platform 11.0 (Ocata)

• Red Hat OpenStack Platform 12.0 (Pike)

其餘廠商彙總

Fortinet
Arista
ExtremeNetworks
Sophos
Palo Alto Networks

總結

這次暴露的CPU缺陷十足讓全部人爲互聯網安全再次捏了一把汗。同時，這次事件再次爲硬件廠商敲響警鐘，安全的投入不能省啊！我我的僅僅總結了你們常見的廠商針對這次事件的反饋彙總，若是你們須要其餘廠商的信息請留言，我會盡可能給你們彙總。謝謝！