重要通知！！訊息更新 2018-01-19

收到HPE的消息，BIOS 2.54是有問題的，會造成Server auto-reboot，HPE 已將連結移除，

後續HPE有消息會再Update For ProLiant Gen9 series servers, update to System ROM Version 2.54

(except for the ProLiant DL20 Gen9 or ML30 Gen9)

HPE官方連結

http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

如果已更新至BIOS 2.54的主機,建議處理方式：

1.如有異常重開多次的設備，先試著Downgrade 到下一版的版次。

2.尚未有狀況，再等HPE 提供2.54後BIOS 

3.Downgrade FW Procedure：

    —>  作法和升級的方法一樣, 下載BIOS後, 執行, 偵測到較低版次的BIOS會出現警示告知, 執行後重新開機

4.BIOS也是由Intel提供給各家HW廠商，來源還是有問題，所以目前都還在修正

HPE官方連結

https://support.hpe.com/hpsc/doc/public/display?docId=mmr_kc-0113956

------------------------------------------------------------------------------------------------------------------------------------------------

針對此次 CPU 安全性漏洞問題, 以下為 HPE 提供的完整解決方式, 由於這次的情況比較特殊, 無法只經由更新系統 System ROM, BIOS, 請務必以照下面說明, 搭配作業統更新才可以.想了解細節, 可以直接前往 Intel 網站查看

 https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

 

需檢查步驟如下：

1.  查看客戶所購買的 HPE ProLiant 伺服器是否有在影響範圍之內, 請參考此連結：

http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

(幾乎所有 Gen10, Gen9 以大多 Gen8 Server 都有受影響, 且不論是 1P, 2P, 4P)

2.  若確定有受影響, 首先更新系統 ROM

-   Gen10 伺服器, 更新 System ROM 到 version 1.28

-   DL380 Gen10 伺服器, 更新 System ROM 到 version 1.04

-   Gen9 伺服器, 更新System ROM 到 2.54

-   DL20, ML30 Gen9 這二台伺服器, 更新 System ROM 到 2.52

-   Gen8 部份WW 還在處理中, 後續會很快 release 給客戶

     最新的 System ROM, 可以在 https://support.hpe.com/hpesc/public/home 找到

 

3.  更近最新的作業系統安全性更新

-    Microsoft : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

-    Red Hat : https://access.redhat.com/security/vulnerabilities/speculativeexecution

-    SUSE : https://www.suse.com/support/kb/doc/?id=7022512

-    VMware : https://www.vmware.com/security/advisories/VMSA-2018-0002.html

-    CentOS : https://lists.centos.org/pipermail/centos-announce/2018-January/thread.html

 

4.  將系統重新開機並檢查所更新的內容是否生效, 即完成作業.

 

幾個Q&A提供給各位參考：

 1.  修補CPU漏洞效能降多少？

        A:1.根據英特爾的測試數據,在硬體測試基準工具Sysmark 2014, 筆電處理器造成的效能損失最多有到4%，

                而伺服器處理器則約有2%的降速.

             2.PostgreSQL更在官網公開測試結果，顯示當使用修補過後的Linux核心，效能降幅高達17到23%.

             3.對於用戶運用於一般應用任務的處理影響較輕微，效能降低約0到2%不等

             4.但是對於極度倚賴應用程式與作業系統之間大量互動的複合式工作負載（synthetic workloads），

                修補程式造成的效能衝擊就會很大，降幅才可能達30％之多

 

2.防毒軟體可以檢測或阻止這類的攻擊嗎？

        A:理論上可行，但實際執行上極為困難。它不像一般惡意軟體，所以防毒軟體很難在應用程式正常啟用時，

            就能分辨出是不是遭到Meltdown和Spectre針對漏洞攻擊.

 

3.目前有沒有解決或修復的辦法？

        A:現在已經有Linux、Windows 以及OS X等作業系統業者針對Meltdown釋出更新修補。另外還有

            些則是針對軟體的安全進行強化，個別釋出軟體更新（如LLVM的更新等），以降低遭受Spectre

            攻擊的危害。

 

4.目前盤點已知受影響的廠商產品及更新進展如何？

        A:轉載網路上的資訊，先供各位參考，內有連結可以上官網查詢確實的資訊。(ref:https://www.ithome.com.tw/news/120312)

英特爾（參考連結）

共有44款CPU產品受影響，涵蓋桌上型PC（Core i3、i5、i7系列）、筆電（Intel Core各代）、伺服器（含E3、E5、E7、Xeon Processor Scalable)、嵌入式電腦（ Celeron J、Celeron  N）等主要處理器。對外公告，將先針對近5年內的CPU系列產品釋出更新，預計下周末前，逾9成的CPU產品都能獲得更新修補。

並無說明是修補Meltdown或是Spectre的漏洞。

ARM（參考連結）

大部分ARM處理器未受影響，少部分影響的是被用在智慧手機、平板電腦或其他類似手持式裝置的ARM處理器。

受到Meltdown影響的ARM型號Cortex-A75受到Spectre影響的ARM型號Cortex-R7、Cortex-R8、Cortex-A8、Cortex-A9、Cortex-A15、Cortex-A17、Cortex-A57、Cortex-A72

Cortex-A73、Cortex-A75

AMD（參考連結）

已公告Meltdown對AMD處理器不存在任何影響，因為架構設計與其他CPU不同。

對外公告Spectre對AMD處理器影響趨近於零，目前未有相關處理器漏洞被證實。

RISC-V（參考連結）新增

並未影響開源精簡指令集架構（ISA）的RISC-V處理器，將來將持續強化ISA安全的保護。

Nvidia（參考連結）新增

針對受Meltdown或是Spectre 影響的全部GPU系列產品，皆已或即將於1/22前釋出驅動程式的安全更新，影響的GPU產品涵蓋了GeForce系列GPU、伺服器GPU加速器Tesla、行動工作站Quadro以及NVS繪圖卡產品。

Microsoft微軟（參考連結）

已釋出Windows、Azure安全更新，降低Meltdown與Spectre攻擊造成的危害。

已針對IE 11、Microsoft Edge瀏覽器發出更新。

作業系統方面，已針對Windows 10 （32-bit ）/x64、Windows 8.1 （32-bit ）/x64  ，以及Windows 7 SP1（32-bit ）/x64各版本提供軟體和韌體更新修補，或加強安全更新。

SQL資料庫部分也已有提供Microsoft SQL Server 2016 (x64 SP1)  與Microsoft SQL Server 2017  (x64 SP1)的軟體更新。

伺服器OS方面，包括Windows Server 2016 、Windows Server 2008 R2 /2008 R2 for x64 SP1 、Windows Server 2012/2012 R2，以及Windows Server(Server Core安裝）目前皆已釋出修補，或加強安全更新。

Amazon（參考連結）

已修補Amazon EC2上所有執行的虛擬機器、Amazon Linux AMI，免於受到Meltdown與Spectre攻擊的影響。

不過部分雲端服務仍建議用戶配合更新虛擬機器的OS（AWS Batch），包括Amazon EC2、 Amazon Elastic Beanstalk、 Amazon Elastic Container Service、 Amazon Elastic MapReduce以及Amazon Lightsail產品，以提高對於OS的保護。

Google  （參考連結） 

受影響但可自Google端修補的包含了Google架構、Android、G Suite及部份的Google Cloud產品。

在企業雲端服務部份，Google已修補了Google Cloud架構，部分雲端服務則需用戶配合更新，包括Google Cloud Dataflow、Google Cloud Datalab、Google Cloud Dataproc、Google Cloud Launcher、Google Cloud Machine Learning Engine及Google Compute Engine等。

Chrome瀏覽器方面，新版Chrome OS 63已內建保護功能，更早的Chrome OS版本後續則會藉由於核心中嵌入Kernel Page Table Isolation（KPTI）進行修補。

在Android平臺上，所有已部署本周釋出安全更新的Android裝置，包括Nexus 5X、Nexus 6P、Pixel C、Pixel/XL 及Pixel 2/XL等已可確保安全。

2017年12月已向Android合作夥伴，針對有受影響的ARM處理器提供更新程式SPL，以降低受到CPU漏洞攻擊的影響。

Apple  （參考連結） 新增

已先針對iOS 11.2、macOS 10.13.2以及tvOS 11.2發布更新，以減少受到 Meltdown攻擊的危害。

目前已知Apple Watch產品並不會受到Meltdown或Spectre的影響。

 

Lenovo（參考連結） 新增

已知有上百款Lenovo產品受影響或部分受影響，產品涵蓋桌上型PC (含All in One)、筆電(IdeaPad、ThinkPad)、網路交換器、儲存、伺服器（含System x 、ThinkServer、ThinkSystem）以及ThinkStation工作站，目前僅少數產品釋出更新，多數仍待更新釋出。

IBM（參考連結） 新增

已針對POWER7 +、POWER8和POWER9運算平臺釋出韌體更新，另外Linux作業系統的部分，將在1/9開始提供更新修補程式，至於AIX和i作業系統預計要等到2/12才會釋出更新。

Dell （參考連結） 新增

目前已針對可能受影響的Dell 企業級伺服器（含13代、14代 PowerEdge系列）, 儲存、網通產品以及Dell資料中心可擴展方案(DSS)釋出系統BIOS軟體更新。

華為（參考連結） 新增

目前已知有多款伺服器產品型號受影響，還在進行調查中。

Cisco （參考連結） 新增

目前已知受影響的產品，包括路由器、刀鋒伺服器、機架式伺服器等十餘款產品，其他仍在調查中。

F5 （參考連結） 新增

已知有VIPRION 及BIG-IP等硬體平臺，可能受到Meltdown與Spectre攻擊的影響。

Red Hat（參考連結）

受到Meltdown影響的產品名稱Red Hat Enterprise Linux 7(已更新)

Red Hat Enterprise Linux 6(部分更新)

Red Hat Enterprise Linux 5(待更新)

RHEL Atomic Host  (待更新)

Red Hat Enterprise MRG 2 (已更新)

受到Spectre影響的產品名稱Red Hat Enterprise Linux 7 (已更新)

Red Hat Enterprise Linux 6 (部分更新)

Red Hat Enterprise Linux 5 (待更新)

RHEL Atomic Host (待更新)

Red Hat Enterprise MRG 2(已更新)

Red Hat Virtualization 3ELS、4(RHEV-H/RHV-H)(已更新)

Red Hat OpenStack v6 (待更新)

Red Hat OpenStack v7 (待更新)

Red Hat OpenStack v8 (待更新)

Red Hat OpenStack v9(待更新)

Red Hat OpenStack v10 (待更新)

Red Hat OpenStack v11 (待更新)

Red Hat OpenStack v12 (待更新)

Debian  （參考連結）  

已針對Meltdown攻擊手法提供軟體包更新。

Ubuntu（參考連結）

預計將針對Ubuntu內核和處理器微程式釋出更新。

 

SUSE（參考連結）

將為所有企業版SUSE Linux（SLE）推出Meltdown與Spectre修補更新。

目前已釋出更新的SLE版本如下：

SLES 12 SP3

SLES 12 SP2

SLES 12 SP1-LTSS

SLES 12-LTSS

SLES 11 SP4

SLES 11 SP3-LTSS

SUSE CaaS Platform

也將提供AMD 與 Intel處理器微程式包的韌體更新。

將釋出QEMU / KVM更新。

Fedora （參考連結） 新增

已針對Fedora Linux作業系統（含Fedora　26、Fedora　27版本）與Rawhide (內核 4.15最终測試版本)釋出更新修補程式 ，以降低遭到Meltdown攻擊的危害。

Qubes （參考連結） 新增

目前還不清楚Meltdown與Spectre是不是會對Qubes OS系統安全造成不利影響，還在持續調查中。

Fortinet （參考連結） 新增

Fortinet產品是否受影響，仍在調查中。

NetApp （參考連結） 新增

目前旗下ONTAP資料管理軟體並不受Spectre或Meltdown攻擊的影響，包括了在FAS / AFF硬體上操作的ONTAP、ONTAP Select，以及ONTAP Cloud等虛擬化ONTAP產品

LLVM（參考連結）

已針對Spectre釋出更新

VMware（參考連結）

已針對受影響的

VMware ESXi（6.5、6.0、5.5），VMware Workstation Pro / Player工作站（12.x）和 VMware Fusion Pro / Fusion（8.x）版本釋出更新（適用利用Spectre攻擊手法的CVE-2017-5715與CVE-2017-5753漏洞，除ESXi 5.5版的CVE-2017-5753漏洞，仍待釋出更新）

Citrix （參考連結）   

經證實已受影響的產品：

Citrix NetScaler SDX

Citrix XenServer

等待第三方更新的產品：

Citrix XenApp/XenDesktop

目前已知不受影響的產品：

Citrix XenMobile Server

XenMobile Server

Citrix NetScaler

Xen （參考連結） 新增

目前所有採用開源Xen系統均受Spectre與Meltdown攻擊的影響。

除了已知Meltdown攻擊能利用啟用HVM 或 PVH模式來達到緩解外，並沒有針對Spectre攻擊的一套緩解作法，未來將先針對利用Spectre攻擊手法的CVE-2017-5715漏洞釋出更新修補程式。