尊敬的华北1用户：

您好! 外界安全研究人员发现Intel CPU存在严重安全漏洞，问题覆盖过去10年内Intel绝大部分CPU型号。一旦漏洞被利用，同一物理空间内将存在提权风险，导致敏感信息泄露。根据华北1掌握的威胁情报，目前还未出现漏洞被利用的公开案例。华北1已与我们的战略级合作伙伴Intel同步此漏洞修补的技术方案，部分操作系统已更新补丁，现将最新进展通知用户。

【修复方案】

本次漏洞修复分为两个部分：一是云平台及虚拟化系统修复，二是用户使用的操作系统更新。

云平台系统修复：

华北1将于初定的2018年1月12号0:00开始将分批次批量对云平台及虚拟化系统进行热修复，以修复此次漏洞带来的隐患；在修复过程中，不会对用户的业务造成中断；升级完成后，部分特殊业务根据情况可能会存在小幅度的性能下降。

用户的操作系统更新：

截止该公告发布之前，针对华北1用户使用的Windows操作系统和Linux系统的补丁状态整理如下：

操作系统 版本号 需要修复 补丁状态 更新方法 补丁链接地址

Windows系统 2008 是 已发布 手动更新 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897

Windows系统 2012 是 已发布 手动更新 https://www.catalog.update.microsoft.com/Search.aspx?q=KB405698

CentOS 6.X 是 已发布 见下说明 https://access.redhat.com/errata/RHSA-2018:0008

CentOS 7.X 是 已发布 见下说明 https://access.redhat.com/errata/RHSA-2018:0007

Ubuntu 12.04 是 未发布 见下说明 https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

Ubuntu 14.04 是 已发布 见下说明 https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

Ubuntu 16.04 是 已发布 见下说明 https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

Debian 8.2 是 未发布完整 https://security-tracker.debian.org/tracker/source-package/linux

Fedora 20 是 未发布

【注意】由于操作系统的内核补丁更新可能会使性能小幅度下降，为了确保业务的稳定性，用户可根据漏洞的危害和实际的业务情况决定是否进行补丁更新，若需要进行修复，请提前做好业务验证和数据备份工作。

Windwos系列：

     升级前请先阅读微软指导信息： https://support.microsoft.com/zh-cn/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

 CentOS 6/7系列：

1)    uname -a查看内核版本；

2)     yum clean all && yum makecache，更新软件源;

3)     yum update kernel -y，更新内核版本;

4)     reboot

5)     更新后，检查系统版本，uname -r，查看内核版本号

CentOS 6系列，如果是kernel-2.6.32-696.18.7，则说明修复成功。

CentOS 7系列，如果是kernel-3.10.0-693.11.6，则说明修复成功。

 Ubuntu 14.04/16.04 LTS系列用户

1)     uname -a查看内核版本；

2)     sudo apt-get update && sudo apt-get install linux-image-generic，更新内核版本;

3)     sudo update-grub，修改默认启动选项；

4)     sudo reboot，更新后重启系统生效;

5)    uname -r，查看系统内核版本号.

Ubuntu 14.04 LTS系列，显示是3.13.0-139.188，则说明修复成功。

Ubuntu 16.04 LTS系列，显示是4.4.0-109.132，则说明修复成功。

【漏洞详情】

（1）CVE-2017-5753

    该漏洞主要是通过低特权级别的代码，调用高特权级别的代码来实现攻击；

    使用分支预测指令，在分支预测中执行特权级指令，然后因为缓存的原因，没有恢复现场，导致特权级指令的结果，可以被获取；

（ 2 ） CVE-2017-5715

    处理器内部用于加速分支跳转的内部数据，有特定的目标预测算法，通过这个算法，攻击者填入恶意的跳转地址；

    因为这些恶意的跳转地址，最后会被废弃，但是缓存的数据依旧存在，利用这个方式可以获取内核地址的数据；

（ 3 ） CVE-2017-5754 （熔断漏洞，乱序执行）

    处理器在乱序执行，没有对跨特权的数据访问进行限制；

    当用户态程序访问保护数据时，在缺页异常前，相应的代码还是会执行，导致缓存依旧会发生变化，通过分析缓存得到相应的内核数据；

【漏洞级别】

严重级别

华北1在完成云平台的修复后，将第一时间更新公告，对于还未发布补丁的操作系统华北1会持续跟进，一旦有新进展，也将同步更新。

若在升级过程中给您带来不便或您有任何疑问，请及时拨打我们的7*24小时客服电话：400-028-9900，或直接发送邮件至：supermix_cs@kingsoft.com 与我们联系。