英特尔CPU Meltdown Spectre漏洞影响华为多个服务器

安全研究人员透露了两组CPU漏洞“Meltdown”和“Spectre”。在某些情况下,本地攻击者可能利用这些漏洞读取属于其他进程或其他操作系统内核的内存信息。(漏洞编号:HWPSIRT-2018-01001,HWPSIRT-2018-01002,HWPSIRT-2018-01003)

此漏洞已分配有常见漏洞和披露(CVE)ID:

CVE-2017-5715

CVE-2017-5753

CVE-2017-5754

产品名称 受影响的版本 已解决的产品和版本
CH121 V3 V100R001C00SPC250之前的版本 V100R001C00SPC250 [1]
CH121L V3 版本在V100R001C00SPC150之前 V100R001C00SPC150 [1]
CH140 V3 V100R001C00SPC170之前的版本 V100R001C00SPC170 [1]
CH140L V3 版本在V100R001C00SPC150之前 V100R001C00SPC150 [1]
CH220 V3 V100R001C00SPC250之前的版本 V100R001C00SPC250 [1]
CH222 V3 V100R001C00SPC250之前的版本 V100R001C00SPC250 [1]
CH225 V3 版本在V100R001C00SPC150之前 V100R001C00SPC150 [1]
CH226 V3 V100R001C00SPC170之前的版本 V100R001C00SPC170 [1]
1288H V5 V100R005C00SPC107之前的版本 V100R005C00SPC107 [2]
2288H V5 V100R005C00SPC107之前的版本 V100R005C00SPC107 [2]

注意:

[1]将BIOS升级至V382版本,将iBMC升级至V268版本。除了这两个组件之外,还需要升级操作系统供应商提供的操作系统补丁。

[2]将BIOS升级至V055版本,将iBMC升级至V270版本。除了这两个组件之外,还需要升级操作系统供应商提供的操作系统补丁。

漏洞利用

攻击者可以利用这些漏洞读取属于其他进程或其他操作系统内核的内存信息。

已经使用CVSSv3评分系统(https://www.first.org/cvss/specification-document)执行了漏洞分类。

1.先决条件:

攻击者必须能够在受影响的设备上运行精心制作的代码。

2.攻击程序:

在某些情况下,本地攻击者可能利用这些漏洞读取属于其他进程或其他操作系统内核的内存信息。

客户需要联系华为技术支持中心(Huawei Technical Assistance Center)申请升级。TAC联系方式请参考华为全球网站:  http://www.huawei.com/cn/psirt/report-vulnerabilities

Leave a Reply