设为首页收藏本站返回官网

Ubuntu Kylin技术论坛

 找回密码
 立即注册
搜索
查看: 150|回复: 0

漏洞说明

[复制链接]
  • TA的每日心情
    慵懒
    6 小时前
  • 签到天数: 176 天

    [LV.7]常住居民III

    发表于 2018-1-5 14:43:38 | 显示全部楼层 |阅读模式
    本帖最后由 l.xuyang 于 2018-1-5 14:46 编辑

      近日披露了英特尔处理器的一项安全漏洞,此漏洞涉及从数据中心应用程序到JavaScript支撑的Web浏览器,影响范围较为大,漏洞利用了该类处理器存在一个底层设计缺陷,通过分支预测对分支目标进行预测并使处理器在条件分支判断之前预先执行分支跳转后的指令序列,而处理器的L1数据Cache在分支预测后也会相应对预测执行中访问到的数据分配Cache Line,在特定条件下,攻击者可以绕开边界检查从而窃取敏感空间(如内核)中被保护的内存区域数据从而造成数据信息泄露。该漏洞暂时无法使用microcode修复,只能进行操作系统级的修复,系统级的修复会带来较大的性能开销。
      银河麒麟操作系统具有基于标记的执行控制机制,实现对应用程序的合法性和完整性标记,确保只有合法且完整的动态链接库、可执行程序及内核模块才允许加载和执行,严格限制非法应用程序的加载执行权限,增加该漏洞的利用难度。针对英特尔处理器平台,银河麒麟操作系统正在进行漏洞修复,将内核空间与用户空间使用的内核页表进行了隔离,确保用户态应用程序的访问隔离,但该修复补丁对性能有较大影响,预计执行性能会降低5%至30%。针对用户的不同应用场景,系统提供了针对此漏洞的内核开关供用户自行配置。
      同时搭载了银河麒麟操作系统的飞腾处理器暂时不受到该漏洞影响,针对该平台,银河麒麟操作系统同时通过此漏洞补丁更新和用户态应用程序越权访问权限限制进行安全加固,后续我们将持续关注该问题,确保给客户提供安全可靠的系统。

      受影响银河麒麟版本:
       银河麒麟云平台软件
       银河麒麟桌面操作系统(标准版)
       银河麒麟服务器操作系统(标准版)

      受影响的CPU类型:
       六代酷睿Skylake、七代酷睿Kaby Lake、八代酷睿Coffee Lake系列
       Xeon E3-1200 v5/v6系列
       Xeon Scalable系列
       Xeon W系列
       Atom C3000系列
       Apollo Lake Atom E3900系列
       Apollo Lake奔腾系列
       赛扬N/J系列
      
       CVE漏洞:
       CVE-2017-5753
       CVE-2017-5715
       CVE-2017-5754

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    小黑屋|手机版|Archiver|Ubuntu Kylin    

    GMT+8, 2018-1-24 15:27 , Processed in 0.187663 second(s), 12 queries , File On.

    Powered by Discuz! X3.3

    © 2013-2018 Comsenz Inc.

    快速回复 返回顶部 返回列表