Alibaba Cloud Linux 2系统中如何关闭CPU漏洞修复

Alibaba Cloud Linux 2系统中如何关闭CPU漏洞修复

更新时间:2020-08-28 09:47:51

免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

概述

本文主要介绍Alibaba Cloud Linux 2系统中存在的CPU漏洞、漏洞配置文件、关闭漏洞修复的方法等,您可以根据实际情况选择关闭漏洞修复。

详细信息

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

背景信息

2018年1月,Google Project Zero公布现代处理器存在安全漏洞SpectreMeltdown。攻击者可以使用这些漏洞窃取高特权级的数据,因而对系统安全存在严重威胁。同时这两组漏洞几乎涉及当今大部分主流的处理器(包括Intel、AMD、ARM等多种架构),自公开时,便引起了广泛的讨论。不可避免的,阿里云相关产品也受到该漏洞的影响。随后,包括Linux在内的主流操作系统都对漏洞进行了相应的软件修复。同时,自2018年1月Spectre与Meltdown漏洞被首次公布以来,新变种以及新类型的漏洞不断出现,因此可以预见,在未来相当一段时间内,这些漏洞的存在会成为常态。

漏洞详情

说明

  • 由于这些漏洞利用处理器硬件的投机执行(Speculative Execution)以及乱序执行(Out-of-order Execution)特性,而这些特性对于现代处理器的性能提升具有不可或缺的作用,因而其中的一些修复会带来较大的性能回退。
  • 软件方面的修复通常只能缓解,不能根治漏洞问题。

Alibaba Cloud Linux 2系统中现代处理器安全漏洞详情如下。

CVE 漏洞配置文件所在路径 默认处理方式 关闭漏洞修复的方法
Spectre Variant 1(Bounds Check Bypass) /sys/devices/system/cpu/vulnerabilities/spectre_v1 开启漏洞修复 强制开启,无法关闭
Spectre Variant 1(swapgs) /sys/devices/system/cpu/vulnerabilities/spectre_v1 开启漏洞修复

说明:仅4.19.57-15.al7及之后的内核版本支持。

  • nospectre_v1=off
  • mitigations=off
Spectre Variant 2 /sys/devices/system/cpu/vulnerabilities/spectre_v2 开启漏洞修复
(spectre_v2=auto)
  • nospectre_v2
  • spectre_v2=off
  • mitigations=off
    说明:仅4.19.43-13.al7及之后的内核版本支持。
Spectre Variant 4(Speculative Store Bypass) /sys/devices/system/cpu/vulnerabilities/spec_store_bypass 若处理器支持Speculative Store Bypass Disable特性,则开启修复,否则不开启任何修复。
(spec_store_bypass_disable=auto)
  • spec_store_bypass_disable=off
  • nospec_store_bypass_disable
  • mitigations=off
    说明:仅4.19.43-13.al7及之后的内核版本支持。
Meltdown /sys/devices/system/cpu/vulnerabilities/meltdown 开启漏洞修复
(pti=auto)
  • pti=off
  • nopti
  • mitigations=off
    说明:仅4.19.43-13.al7及之后的内核版本支持。
L1TF /sys/devices/system/cpu/vulnerabilities/l1tf Guest Kernel中只开启PTE Inversion修复
  • l1tf=off
  • mitigations=off
    说明:仅4.19.43-13.al7及之后的内核版本支持。
MDS /sys/devices/system/cpu/vulnerabilities/mds
说明:仅4.19.43-13.al7及之后的内核版本支持。
Guest Kernel中只开启CPU buffer clear修复

说明:仅4.19.43-13.al7及之后的内核版本支持。

  • mds=off
  • mitigations=off

说明

  • Alibaba Cloud Linux 2系统中各漏洞的配置文件表示当前实例的CPU是否存在漏洞以及采取的处理措施,示例如下。
    • Not affected:当前CPU不存在该漏洞。
    • Vulnerable:当前CPU存在该漏洞,没有采取任何缓解措施。
    • Mitigation:当前CPU存在该漏洞,采取了相应缓解措施。
  • 关于各漏洞的详细介绍,请单击漏洞名查看详细信息。

适用于

  • 云服务器ECS

如果您的问题仍未解决,您可以在阿里云社区免费咨询,或提交工单联系阿里云技术支持。