关于CPU相关漏洞的修复处理

最新推荐文章于 2023-05-11 18:57:42 发布
最新推荐文章于 2023-05-11 18:57:42 发布
阅读量829 收藏 2
点赞数 1
分类专栏: 安全相关 文章标签: cpu漏洞
文章仅用于技术分享,未经本人同意,禁止转载,且不得应用于商业模式
本文链接:https://blog.csdn.net/ximenjianxue/article/details/118460397
版权

问题描述

2018年1月,谷歌Project Zero公布了现代处理器存在安全漏洞Spectre与Meltdown。

Spectre攻击利用的是处理器的分支猜测和高速缓存技术。在执行指令的过程中,当遇到分支时,为了避免等到分支判断结束后再堵塞读取内存中的后续指令,处理器会进行分支猜测。spectre通过可利用的代码片段并对其进行训练,可以读取本来无法读取到的信息。

Meltdown是基于处理器的乱序执行和高速缓存技术,结合现代操作系统进程中内存管理技术制造的一个安全漏洞。meltdown可以绕过权限检查访问数据,所以可以“熔断”(meltdown)安全边界,因此得名。

CPU的投机执行(Speculative Execution)和乱序执行(Out-of-order Execution)是一种性能优化技术,因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降,实际的影响程度与业务和CPU相关(比如在Intel skylake CPU上对Redis性能影响20%左右)。对此用户可以根据自己的需要关闭相关修复,以提升云主机的性能。

注意!关闭漏洞修复开关代表您已知悉并确认关闭补丁带来的负面影响,烦请谨慎操作。

说明:本文加固方法只针对BCLinux、CentOS以及RedHat操作系统。

加固修复处理

关闭修复方法为在内核启动参数中添加参数,具体方法参考如下:

可下载脚本进行相关漏洞检测:
curl -L https://meltdown.ovh -o spectre-meltdown-checker.sh
wget https://meltdown.ovh -O spectre-meltdown-checker.sh

chmod +x spectre-meltdown-checker.sh
sudo ./spectre-meltdown-checker.sh

参见:GitHub

1)在 /etc/default/grub文件 ,GRUB_CMDLINE_LINUX 行添加需要关闭的漏洞参数,此处以添加“nopti”参数为例:

#vim /etc/default/grub

GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=bel/root rd.lvm.lv=bel/swap rhgb quiet nopti "

2)重新生成grub文件

#grub2-mkconfig -o /boot/grub2/grub.cfg

3)重启云主机

4)各项漏洞对应的关闭方法如下:

CVE漏洞名称漏洞配置文件所在路径默认处理方式关闭漏洞修复的方法
CVE-2017-5753Spectre Variant 1(Bounds Check Bypass)/sys/devices/system/cpu默认开启漏洞修复强制开启,无法关闭
CVE-2017-5753Spectre Variant 1(swapgs)/sys/devices/system/cpu/vulnerabilities/spectre_v1默认开启漏洞修复仅3.10-1062及之后的内核版本支持关闭nospectre_v1=off
mitigations=off
CVE-2017-5715Spectre Variant 2/sys/devices/system/cpu/vulnerabilities/spectre_v2默认开启漏洞修复(spectre_v2=auto)nospectre_v2
spectre_v2=off
mitigations=off(仅3.10-1062及之后的内核版本支持)
CVE-2018-3639Spectre Variant 4(Speculative Store Bypass)/sys/devices/system/cpu/vulnerabilities/spec_store_bypass若处理器支持Speculative Store Bypass Disable特性,则开启修复,否则不开启任何修复(spec_store_bypass_disable=auto)spec_store_bypass_disable=off
nospec_store_bypass_disable
mitigations=off(仅3.10-1062及之后的内核版本支持)
CVE-2017-5754Meltdown/sys/devices/system/cpu/vulnerabilities/meltdown默认开启漏洞修复(pti=auto)pti=off
nopti
mitigations=off(仅3.10-1062及之后的内核版本支持)
CVE-2018-3615L1TF/sys/devices/system/cpu/vulnerabilities/l1tfGuest Kernel中只开启PTE Inversion修复l1tf=off
mitigations=off(仅3.10-1062及之后的内核版本支持
CVE-2019-11091MDS/sys/devices/system/cpu/vulnerabilities/mds说明:仅3.10-1062及之后的内核版本支持Guest Kernel中只开启CPU buffer clear修复mds=off
mitigations=off(仅3.10-1062及之后的内核版本支持)
羌俊恩
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CPU漏洞修复工具
01-13
CPU漏洞修复工具(针对“Meltdown”(融化)和“Spectre”(幽灵)两组CPU漏洞
cpu漏洞修复
最新发布
silver9886的专栏
06-21 220
关于CPU相关漏洞修复处理_cpu漏洞如何修复 vulnerability spec store bypass: vulnera-CSDN博客
在Intel处理器上,修改mitigations参数使Linux系统运行得更快
rayylee
04-08 4999
您可能听说过影响了许多现代处理器,包括英特尔,AMD,System Z,Power和ARM的某些处理器。幸运的是,内核开发人员已经发布了安全补丁来解决Meltdown/Spectre问题,在最新的内核版本中,默认情况下应用补丁。尽管安全补丁有助于缓解漏洞,但是它们也会影响系统的性能,如果您的系统受到了很好的保护,并且希望获得所有的性能,那么本指南非常适合您。本简要指南介绍了如何通过关闭Spectre和Meltdown缓解措施使Linux系统在Intel CPU上更快地运行。 警告 : 在实施以下解决方案之前
Linux kernel 命令行参数三
哦,原来你也在这里。
03-10 1832
pcie_ports= [PCIE] PCIe port services handling: native Use native PCIe services (PME, AER, DPC, PCIe hotplug) even if the platform doesn't give the OS permission to use them. This...
linux安全策略对性能的影响
InternalsOf
04-25 1122
https://unix.stackexchange.com/questions/554908/disable-spectre-and-meltdown-mitigations A number of kernel boot parameters are available to disable or fine-tune hardware vulnerability mitigations: for Spectre v1 and v2:nospectre_v1(x86, PowerPC),n...
CVE-2017-5715/CVE-2017-5754在CentOS8.2/8.3系统禁用方法
u012533481的博客
03-25 576
问题背景 CVE-2017-5715 Variant CVE-2017-5715 triggers the speculative execution by utilizing branch target injection. It relies on the presence of a precisely-defined instruction sequence in the privileged code as well as the fact that memory accesses may cau
CPU漏洞详解
宋宝华
10-03 5341
1. 导言性能测试对于 Linux 发行版来说至关重要,Alibaba Cloud Linux 2 也是如此。(Alibaba Cloud Linux 2 是阿里巴巴操作系统团队推出的一款...
intel最新爆出的CPU漏洞检测工具(Linux版)
01-04
标题中的“intel最新爆出的CPU漏洞检测工具(Linux版)”指的是Intel公司针对其处理器可能存在的一系列安全漏洞推出的一款专门用于Linux操作系统的检测工具。这些漏洞可能是类似之前被广泛报道的“熔断”(Meltdown...
Linux Kernel CPUFreq Proc处理器整数处理漏洞.pdf
09-07
本文将对LinuxKernel CPUFreq Proc处理器整数处理漏洞进行详细解释,并对相关知识点进行总结。 标题解释 Linux Kernel CPUFreq Proc处理器整数处理漏洞是指在Linux操作系统中,CPUFreq模块的Proc处理器整数处理存在...
CPU漏洞熔断、幽灵原理、风险与应对措施.pdf
09-24
* 针对幽灵漏洞,可以使用软件补丁来修复漏洞,并且需要对 CPU 架构进行修改。 * 使用安全的编程语言和开发工具,避免使用不安全的编程语言和开发工具。 * 针对攻击者的攻击,需要采取快速响应和修复措施,防止攻击...
CPU漏洞后续:部分补丁存缺陷或导致系统异常.pdf
09-24
" CPU漏洞后续:部分补丁存缺陷或导致系统异常" CPU漏洞是一种严重的安全漏洞,它允许攻击者绕过芯片级别的安全机制,访问内核中的敏感数据。这种漏洞影响了使用CPU的操作系统和软件,对物理单机操作系统和虚拟机...
Linux笔记--关闭系统漏洞补丁(Spectre & Meltdown补丁)
Young12138的博客
10-25 2089
关闭spectre、meltdown补丁
LiangGaRy-学习笔记-Day12
Liang_GaRy的博客
05-11 511
LiangGaRy-学习笔记-Day12
Linux内核可能会包含改进的Spectre/Meltdown开关
Listen2You的博客
05-18 927
当下一个Linux内核发布时,自从Spectre和Meltdown CPU推测执行漏洞公开并且缓解开始出现在内核中之后,大约需要一年半的时间。最后,现在上游开发人员正在讨论如何改进开关/可调节旋钮,以便轻松配置这些降低性能的缓解措施。 从一开始就可以在运行时禁用大部分这些缓解措施(对于Spectre V1的 __user指针清理没有这种缓解)但是使用的内核命令行参数并不是最简单或容易记住的......
查看漏洞修补情况:/sys/devices/system/cpu/vulnerabilities/*
RToax
09-27 456
[rongtao@bogon qemu-2.8.1]$ head /sys/devices/system/cpu/vulnerabilities/* ==> /sys/devices/system/cpu/vulnerabilities/itlb_multihit <== KVM: Mitigation: Split huge pages ==> /sys/devices/system/cpu/vulnerabilities/l1tf <== Not affected ==&g.
Spectre V2 理论与实践
diamond_biu的博客
03-18 6675
检测系统是否存在Spectre相关漏洞 环境: VMWare Ubuntu18.04 使用spectre-meltdown-checker程序进行检测: ./spectre-meltdown-checker.sh 根据参考[1]中的方法禁用spectre的补丁: //修改内核启动参数 gedit /etc/default/grub //在 GRUB_CMDLINE_LINUX= 此行最后加入下面的参数: //noibrs noibpb nopti nospectre_v2 nospectre_v1 l1t
intel漏洞 CVE-2017-5715、CVE-CVE-2017-5753、CVE-2017-5754 受影响的英特尔®平台
mao_silence的博客
01-13 2912
受影响的英特尔®平台 以下基于英特尔®的平台受此问题影响。英特尔可能会在稍后修改此列表。 英特尔®酷睿™i3处理器(45纳米和32纳米) 英特尔®酷睿™i5处理器(45纳米和32纳米) 英特尔®酷睿™i7处理器(45纳米和32纳米) 英特尔®酷睿™m系列处理器(45纳米和32纳米) 第二代英特尔®酷睿™处理器 第三代英特尔®酷睿™处理器 第四代英特尔®酷睿™处理器 第五代英特尔
linux关闭内核命令,[教程]在Centos上关闭内核KPTI特性提高系统性能
weixin_30710557的博客
04-29 862
写在开头为了解决近期爆出的MeltDown漏洞带来的安全风险,新版本内核默认开启了KPTI(内核页表隔离),以修复漏洞。然而,根据测试,开启KPTI可能对虚机性能产生5%-30%的影响。计算类业务影响较小,IO/内存类业务则影响较大。您可以根据实际情况判断是否关闭KPTI,以在承担安全风险的前提下,恢复性能。关闭方法Centos6.X1) 关闭KPTIvim /boot/grub/grub.co...
CVE-2020-14882漏洞修复
07-28
根据引用\[1\]中提到的Oracle官方发布的2020年10月关键补丁更新公告CPU(Critical Patch Update),其中包含了修复CVE-2020-14882漏洞的补丁。这个漏洞存在于Weblogic Console中,攻击者可以通过构造特殊的HTTP GET...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

羌俊恩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值