2018年新年的第三天,一则CPU漏洞相关的信息震撼了整个信息安全界!“出大事了”、“全体沦陷”、“惊天漏洞”等形容此次事件严重程度的词汇一时间铺天盖地。现在,让我们追根溯源,寻找漏洞的来龙去▅脉,并且解析此次漏洞事件对山石网科产品的影①响。
2018年1月3日,GPZ(Google Project Zero)安全团队发布了名为Reading privileged memory with a side-channel的严重安全漏♀洞。在报告○中提到CPU数据缓存机制可以被恶意利用造成信息泄露,这种利〗用在最坏的情况下可以被用来跨越本地安全边界读取任意虚拟内存。这个问题影响包括Intel、AMD和ARM的多款CPU。Google已经在Intel和AMD某些型号◤的CPU上真实利用了该■漏洞。并在2017年6月1日将此漏洞ㄨ报告给Intel、AMD和ARM。
大部分山№石网络设备使用基于MIPS的Cavium处理器,根据Cavium的官♂方声明,山石网科的防火墙产品不受此次漏洞影响。对于少部分使用→x86处理器的山石网络设↑备,理论上存在此漏洞,但考虑到设备是一『个封闭环境,普通用户没有运行◥外部程序的机会,所以也就没有利用该漏洞的机会。
虽然山石□网科产品上没有直接利用此漏洞的机会,我们仍会紧密关ㄨ注Linux内核稳定patch的发布,并及时对产品进行升级。关于多份报告中提及◣的patch后性能下降问题,由于数据转发不涉及系统调用,产品升级后不会造成山石防火墙性能下降对于我们的虚拟云产品,因⌒ 为运行在guest系统中,所以无法感知到这个漏洞,只可▽能成为漏洞的受害者。对此我们已经督促云主机︻供应商及々时进行系统升级。对于我们的产△品用户,建议关注各▂主流操作系统官网,对自己网络环境中的PC及时进行系统升级。