|
初始发布日期:2018年1月8日
更新日期:2018年4月17日
CVE编号
Meltdown:CVE-2017-5754
Spectre: CVE-2017-5715,CVE-2017-5753
CVSS 3.0基础得分
CVE-2017-5754: 5.6 中危(CVSS:AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N)
CVE-2017-5715: 5.6 中危(CVSS:AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N)
CVE-2017-5753: 5.6 中危(CVSS:AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N)
漏洞描述
Meltdown漏洞的利用破坏了用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。
Spectre漏洞的利用破坏了不同应用程序之间的安全隔离,允许攻击者借助于无错程序(error-free)来获取敏感信息。
影响范围
1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM、POWERPC处理器也受到影响。
修复建议
1.第三方组件:
目前,操作系统和处理器厂商已经发布补丁更新,建议用户针对实际运行的业务进行性能测试验证和评估后,再升级安装更新补丁。
1)处理器厂商
Intel
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
https://newsroom.intel.com/news/firmware-updates-and-initial-performance-data-for-data-center-systems/ (性能测试结果)
AMD
http://www.amd.com/en/corporate/speculative-execution
ARM
https://developer.arm.com/support/security-update
IBM
http://www-01.ibm.com/support/docview.wss?uid=swg22012320
http://download.boulder.ibm.com/ibmdl/pub/software/server/firmware/SC-Firmware-Hist.html
NVIDIA
http://nvidia.custhelp.com/app/answers/detail/a_id/4611
2)操作系统厂商
微软
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002
https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems (性能测试结果)
苹果
https://support.apple.com/zh-cn/HT208394
Android
https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html
https://www.chromium.org/Home/chromium-security/ssca
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
RedHat
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://access.redhat.com/articles/3311301#page-table-isolation-pti-6
https://access.redhat.com/articles/3307751 (性能测试结果)
Ubuntu
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
SUSE
https://www.suse.com/support/kb/doc/?id=7022512
https://www.suse.com/c/meltdown-spectre-performance/ (性能测试结果)
2.中兴通讯产品:
中兴通讯在获悉安全漏洞的第一时间迅速响应,并与相关的操作系统和处理器供应商积极地沟通。
部分产品已经发布修复补丁;相关产品的修复由现场团队基于工程技术通知单执行。客户可以通过中兴通讯当地的技术服务寻求关于产品安全漏洞的必要支持。
中兴通讯将持续公布最新进展。
影响和修复
受影响的产品列表及修复情况:
|
影响产品 |
影响版本 |
处理进展 |
|
CGSL |
V4、 V5、Core V1.x |
1月9日,发布V5.04.F2、Core V1.x修复版本;
1月20日,发布4.05.F11修复版本;
4月16日,发布Core V5.4.F3 修复版本;
计划4月初,发布V5.03修复补丁v2版本。 |
|
VPLAT |
ZXVEi、ZXVE |
1月12日,发布ZXVEi V3.18.41.B1修复版本;
1月16日,发布ZXVEi V3.17.1.F10.EF11修复版本;
1月17日,发布ZXVEi V3.17.1.F20_20180117、V1.02.10.P7_20180117修复版本;
计划四月中旬发布V3.17.4/7/10/11修复补丁。 |
|
NR8250 |
V2.4.4 |
修复方案拟制中。 |
|
EPC |
所有版本 |
由于修复补丁性能问题,暂停补丁发布。 |
|
IMS |
所有版本 |
由于修复补丁性能问题,暂停补丁发布。 |
|
SDM |
所有版本 |
由于修复补丁性能问题,暂停补丁发布。 |
|
CS |
所有版本 |
由于修复补丁性能问题,暂停补丁发布。 |
|
CG |
所有版本 |
由于修复补丁性能问题,暂停补丁发布。 |
|
EMS |
所有版本 |
由于修复补丁性能问题,暂停补丁发布。 |
|
MANO |
所有版本 |
由于修复补丁性能问题,暂停补丁发布。 |
|
VAS |
所有版本 |
由于修复补丁性能问题,暂停补丁发布。 |
|
TECS |
所有版本 |
由于修复补丁性能问题,暂停补丁发布。 |
|
MCG 5311 |
|
等待供应商发布补丁。 |
|
MCG 5362 |
|
等待供应商发布补丁。 |
|
CT320 |
|
3月28日,发布R_ZXCLOUD-iBOX-CT V3.05.09修复版本。 |
|
CT321 |
|
3月28日,发布R_ZXCLOUD-iBOX-CT V3.05.09修复版本。 |
|
CT620 |
|
3月28日,发布R_ZXCLOUD-iBOX-CT V3.05.09修复版本。 |
|
CT621 |
|
3月28日,发布R_ZXCLOUD-iBOX-CT V3.05.09修复版本。 |
|
X320 |
|
3月28日,发布R_ZXCLOUD-iBOX-CT V3.05.09修复版本。 |
|
CT321G3 |
|
3月28日,发布R_ZXCLOUD-iBOX-CT V3.05.09修复版本。 |
|
CT621G2 |
|
3月28日,发布R_ZXCLOUD-iBOX-CT V3.05.09修复版本。 |
|
CT342 |
|
3月28日,发布R_ZXCLOUD-iBOX-CT V3.05.09修复版本。 |
不受影响的产品
中兴通讯已确认漏洞不会影响以下产品:
|
TSP |
ZXR10系列 |
ZXCTN系列 |
|
ZXMP ZXONE OTN |
ZXTIM |
ZXDNA |
|
Easymanager |
ZENIC |
MBB系列 |
参考链接
https://meltdownattack.com/meltdown.pdf
https://spectreattack.com/spectre.pdf
http://xenbits.xen.org/xsa/advisory-254.html
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
更新记录
2018年1月8日,初始发布;
2018年1月8日,更新影响和修复;
2018年1月9日,更新影响和修复、不受影响的产品;
2018年1月10日,更新影响和修复;
2018年1月12日,更新影响和修复、不受影响的产品;
2018年1月15日,更新影响和修复、不受影响的产品;
2018年1月17日,更新影响和修复、不受影响的产品;
2018年1月19日,更新影响和修复;
2018年1月22日,更新影响和修复、不受影响的产品;
2018年1月30日,更新修复建议中的Inter声明;
2018年1月31日,更新影响和修复;
2018年2月5日,更新影响和修复;
2018年3月30日,更新修复建议、影响和修复;
2018年4月17日,更新影响和修复。
中兴通讯PSIRT
如果您需要获取帮助、反馈中兴通讯产品的漏洞信息、获取中兴通讯公司产品安全事件响应服务及获取中兴通讯产品漏洞信息,请联系中兴通讯产品安全事件响应组(ZTE PSIRT):psirt@zte.com.cn,PGP Key ID:FF095577。
|