TC260-PG-20181A 网络安全实践指南 一CPU熔断和幽灵漏洞防范指引 全国信息安全标准化技术委员会秘书处 2018年1月16日 本文档可从以下网址获得: http://www.tc260.org.cn/front/postDetail.html?id=20180116090719 全国信息安全标准化技术委员会 NATIONAL INFORMATION SECURITY STANDARDIZATION TECHNICAL COMMITTEE
TC260-PG-20181A 网络安全实践指南 —CPU 熔断和幽灵漏洞防范指引 全国信息安全标准化技术委员会秘书处 2018 年 1 月 16 日 本文档可从以下网址获得: http://www.tc260.org.cn/front/postDetail.html?id=20180116090719
全国信息安全标准化技术委员会 NATIONAL INFORMATION SECURITY STANDARDIZATION TECHNICAL COMMITTEE 前言 《网络安全实践指南》(以下简称“实践指南”)是全国 信息安全标准化技术委员会(以下简称“信安标委”,TC260) 发布的技术文件。实践指南旨在推广网络安全标准,应对网 络安全事件,改善网络安全状况,提高网络安全意识。 本实践指南是在分析总结相关厂商针对CPU熔断和幽 灵漏洞发布的安全公告和漏洞补丁的基础上,通过研究提炼 全国信息安全标准化技术委 NATIONAL INFORMATION SECURITY STANDARDIZATION TECHNICAL COMMI 形成的,可为漏洞防范提供指引
I 前 言 《网络安全实践指南》(以下简称“实践指南”)是全国 信息安全标准化技术委员会(以下简称“信安标委”,TC260) 发布的技术文件。实践指南旨在推广网络安全标准,应对网 络安全事件,改善网络安全状况,提高网络安全意识。 本实践指南是在分析总结相关厂商针对 CPU 熔断和幽 灵漏洞发布的安全公告和漏洞补丁的基础上,通过研究提炼 形成的,可为漏洞防范提供指引
全国信息安全标准化技术委员会 NATIONAL INFORMATION SECURITY STANDARDIZATION TECHNICAL COMMITTEE 声明 本实践指南版权属于全国信息安全标准化技术委员会。 未经委员会书面授权,不得以任何方式复制、抄袭、影印、 翻译本指南的任何部分。凡转载或引用本指南的观点、数据, 请注明“来源:全国信息安全标准化技术委员会”。 全国信息安全标准化技术委员会不承担对厂商所提供 全国信息安全标准化枝术委员 NATIONAL INFORMATION SECURITY STANDARDIZATION TECHNICAL COMMITTEE 的补丁进行有效性验证的责任。 技术支持单位 本实践指南得到中标软件、360、华为技术、龙芯中科、华 芯通、阿里云、百度云、腾讯、普华软件、中科曙光、成都海光、 神州网信、天津麒麟、安恒等单位的技术支持
II 声 明 本实践指南版权属于全国信息安全标准化技术委员会。 未经委员会书面授权,不得以任何方式复制、抄袭、影印、 翻译本指南的任何部分。凡转载或引用本指南的观点、数据, 请注明“来源:全国信息安全标准化技术委员会”。 全国信息安全标准化技术委员会不承担对厂商所提供 的补丁进行有效性验证的责任。 技术支持单位 本实践指南得到中标软件、360、华为技术、龙芯中科、华 芯通、阿里云、百度云、腾讯、普华软件、中科曙光、成都海光、 神州网信、天津麒麟、安恒等单位的技术支持
全国信息安全标准化技术委员会 NATIONAL INFORMATION SECURITY STANDARDIZATION TECHNICAL COMMITTEE 摘要 本实践指南分析总结了CPU、操作系统和云服务提供商 等厂商针对熔断(Meltdown)和幽灵(Spectre)漏洞提供的 缓解措施,给出了漏洞防范指引,并提供了部分厂商的官方 安全公告和补丁链接。建议用户参考本实践指南给出的漏洞 防范指引,及时采取安全措施应对安全威胁。 COMMITTEE 关键词:网络安全;熔断漏洞;幽灵漏洞;防范指引 全国信息安全标准 NATIONAL INFORMATION SECURITY STANDARDIZA 川
III 摘 要 本实践指南分析总结了CPU、操作系统和云服务提供商 等厂商针对熔断(Meltdown)和幽灵(Spectre)漏洞提供的 缓解措施,给出了漏洞防范指引,并提供了部分厂商的官方 安全公告和补丁链接。建议用户参考本实践指南给出的漏洞 防范指引,及时采取安全措施应对安全威胁。 关键词:网络安全;熔断漏洞;幽灵漏洞;防范指引
全国信息安全标准化技术委员会 NATIONAL INFORMATION SECURITY STANDARDIZATION TECHNICAL COMMITTEE 一、漏洞描述 本实践指南应对的两个CPU漏洞分别为熔断 (Meltdown,CNVD-2018-00303,对应CVE-2017-5754)和 幽灵漏洞(Spectre,CNVD-2018-00302和CNVD-2018-00304, 分别对应CVE-2017-5715和CVE-2017-5753)。溶断漏洞利 用CPU乱序执行技术的设计缺陷,破坏了内存隔离机制,使 恶意程序可越权访问操作系统内存数据,造成敏感信息泄 露。幽灵漏洞利用了CPU推测执行技术的设计缺陷,破坏了 不同应用程序间的逻辑隔离,使恶意应用程序可能获取其它 应用程序的私有数据,造成敏感信息泄露。 熔断漏洞涉及几乎所有的Intel CPU和部分ARM CPU; 幽灵漏洞涉及所有的Intel CPU、AMD CPU,以及部分ARM CPU。 由于上述漏洞来源于硬件,需要从CPU架构和指令执行 机理层面进行修复。上述漏洞只能读取数据,不能修改数据, 远程利用难度较大,尚未监测到利用上述漏洞的真实攻击案 例。 二、风险分析 1.漏洞风险分析 云服务提供商、服务器用户、云租户和个人用户均可能 受到熔断和幽灵漏洞的威胁。其中云平台和部署在互联网环 境下的服务器受攻击的风险更大
1 一、漏洞描述 本 实 践 指 南 应 对 的 两 个 CPU 漏 洞 分 别 为 熔 断 (Meltdown,CNVD-2018-00303,对应CVE-2017-5754)和 幽灵漏洞(Spectre,CNVD-2018-00302 和CNVD-2018-00304, 分别对应CVE-2017-5715 和CVE-2017-5753)。熔断漏洞利 用CPU乱序执行技术的设计缺陷,破坏了内存隔离机制,使 恶意程序可越权访问操作系统内存数据,造成敏感信息泄 露。幽灵漏洞利用了CPU推测执行技术的设计缺陷,破坏了 不同应用程序间的逻辑隔离,使恶意应用程序可能获取其它 应用程序的私有数据,造成敏感信息泄露。 熔断漏洞涉及几乎所有的Intel CPU和部分ARM CPU; 幽灵漏洞涉及所有的Intel CPU、AMD CPU,以及部分ARM CPU。 由于上述漏洞来源于硬件,需要从CPU架构和指令执行 机理层面进行修复。上述漏洞只能读取数据,不能修改数据, 远程利用难度较大,尚未监测到利用上述漏洞的真实攻击案 例。 二、风险分析 1. 漏洞风险分析 云服务提供商、服务器用户、云租户和个人用户均可能 受到熔断和幽灵漏洞的威胁。其中云平台和部署在互联网环 境下的服务器受攻击的风险更大