DaoCloud 就 Meltdown 漏洞的安全公告

DaoCloud 迅速响应 Meltdown 漏洞,为客户提供解决方案与技术支持。

0107

北京时间 2018 年 1 月 3 日,第三方安全研究人员发现名为 Spectre 和 Meltdown 的处理器安全缺陷漏洞,该漏洞事件源于芯片硬件层面的设计 BUG,可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题。

问题一经发现,DaoCloud 迅速启动内部核查,目前已确定 DaoCloud 自身产品系列(DaoCloud Enterprise、DaoCloud Services)不受此安全漏洞影响,同时我们密切关注社区对此项安全漏洞的措施和安全漏洞对 Docker 本身的影响,并持续就对应修复方案做验证,同时建议企业加强安全内控,杜绝内部安全管理漏洞。

目前社区和厂商通过提供更新操作系统补丁规避该安全风险,相关信息参考如下,在升级过程中如需 DaoCloud 帮助,请通过 support@daocloud.io 联系我们。

有关漏洞和针对其修复建议的具体详情如下:

漏洞风险

从目前公开的来看,攻击者需要获取本地普通账号权限后,再进一步进行提权操作,从而获取更高权限越权获取本地敏感信息,漏洞利用有一定的条件。

漏洞修复建议

本次漏洞租户需要更新操作系统补丁以彻底规避该风险,DaoCloud 目前持续跟踪各大操作系统发行版本厂商发布的补丁状态,并第一时间修复官方提供的补丁。

相关安全公告

Intel

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Microsoft

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Amazon

https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/

ARM

https://developer.arm.com/support/security-update

Google

https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

https://www.chromium.org/Home/chromium-security/ssca

MITRE

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5754

Red Hat

https://access.redhat.com/security/vulnerabilities/speculativeexecution

Xen

http://xenbits.xen.org/xsa/advisory-254.html

Mozilla

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

VMware

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

AMD

https://www.amd.com/en/corporate/speculative-execution

总结

CPU 漏洞是全世界 IT 技术的 Root Risk,覆盖范围是不仅限于 Linux 操作系统的全生态领域。DaoCloud 在异构系统生态的拓展上不断发力,旗下系列产品做到了对主流 Linux 的支持,并与微软协调合作商用支持 Windows Server 环境,共同建设 Windows 技术栈容器生态,在 ARM 架构上与华芯通半导体公司的通力配合,实现了开放架构的自主可控。同时基于 DaoCloud-X 容器超融合实验室的硬件提供和工作验证,DaoCloud 正与合作的硬件厂商一起,就计算、存储及网络系统的安全进行全面评估,关注并携手整个异构架构生态,为企业客户观察并提供专业意见和对策。

 

DaoCloud 公司简介DaoCloud 是云计算行业的转型先行者。DaoCloud 产品线涵盖云原生应用的开发、交付、运维和运营全生命周期,并提供公有云、私有云和混合云等多种交付方式。DaoCloud 核心团队在容器计算领域具有世界级的技术储备和社区影响力,公司以互联网时代下助力企业完成数字化转型为己任,产品已广泛被互联网,汽车,金融,能源,政府等行业用户采用,其标杆客户包括上海电气,上汽集团,浦发银行等全球 500 强公司。DaoCloud 总部位于中国上海,并设立了北京、武汉、深圳等分支机构。

网址:www.daocloud.io