安全公告:中兴通讯CCN产品应对处理器Meltdown漏洞和Spectre漏洞处理进展通报

首页 > 技术支持 >公告

发布时间:2018-01-08

Meltdown/Spectre漏洞概要

谷歌安全团队和Intel公司在2018年1月2日发布了有关CPU架构中存在芯片Spectre漏洞(CVE-2017-5715/CVE-2017-5753)和Meltdown漏洞(CVE-2017-5754)的信息。 Meltdown漏洞:利用破坏用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。 Spectre漏洞:利用破坏不同应用程序之间的安全隔离,允许攻击者借助于无错程序(error-free)来获取敏感信息。

中兴通讯CCN产品团队第一时间已经启动了安全漏洞的分析调查,结合虚拟化/非虚拟化网元的安全架构对Meltdown/Spectre漏洞进行威胁分析,确定风险等级,并与相关的CPU和操作系统供应商进行了沟通,密切跟踪上游厂家的处理方案,同步进行系统测试,了解补丁对系统业务的影响。

影响范围

本次安全漏洞影响范围广泛,包括:
Ø  处理器芯片:Intel为主、ARM,对其他处理器同样存在相关风险;
Ø  操作系统:Windows、Linux、macOS、Android;
Ø  云服务提供商:亚马逊、微软、谷歌、腾讯云、阿里云等;
Ø  各种私有云基础设施;
Ø  桌面用户可能遭遇到结合该机理的组合攻击;
中兴通讯CCN产品团队已确认下面的产品受漏洞影响:

漏洞涉及的CCN产品

EPC、IMS、SDM、CS、CG、EMS、MANO、VAS、TECS、SSP

漏洞分析

本次漏洞波及非常广泛,主要威胁在保密性,系统的可用性和完整性并没有遭到破坏。合理的安全加固以及白名单措施可以有效的防止漏洞被利用。

上游厂家漏洞处理进展

1. Intel 公司的CPU微码补丁进展

2018 年 1 月 23 日:重启问题的根本原因已找到,为客户和合作伙伴更新指南

2018 年 1 月 18 日:英特尔关于安全问题的更新: 固件更新进展和针对数据中心系统性能测试的初步结果

2018 年 1 月 11 日:英特尔关于安全问题的更新: 针对客户端系统性能测试的初步结果

2018 年 1 月 10 日:英特尔提供关于安全问题的更新

2018 年 1 月 4 日:英特尔发布更新,保护系统免受潜在攻击

2018 年 1 月 3 日:英特尔关于安全研究结果的回应

Intel声明参考:https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

提示: Intel公司在1月23日停止补丁外发,并且告知下游厂家停止部署补丁。

中兴通讯建议 OEM 厂商、云服务提供商、系统制造商、软件供应商和最终用户停止部署当前的版本,因为它们可能会引发比预期更频繁的重启,还有其它不可预知的系统行为。

2. Redhat 发布RHEL内核补丁进展

2018.1.4  Red Hat Enterprise Linux 6.2 的内核已经更新。

2018.1.4  Red Hat Enterprise Linux 6.8 的内核已经更新。

2018.1.3  Red Hat Enterprise Linux 7 的内核已经更新。

中兴通讯CCN产品漏洞处理进展

中兴通讯始终致力于保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全处理机制及时解决各类安全问题。中兴通讯应急响应小组目前的进展如下:

1. CGSL操作系统补丁进展

CGSL操作系统团队根据REDHAT开源社区公布的漏洞修复代码,编译合入至CGSL各版本操作系统,已完成对应的内核修复补丁工作。

操作系统版本

编译完成时间

内核补丁信息

发布状态

CGSL

V5.04.F2

2018.1.8

atca-drivers-3.4.7-3.cgslv5u4.el7.cgsl2172.x86_64.rpm

cgsl-led-1.0.0-cgslv5u4.el7.cgsl2172.x86_64.rpm

common-disk-drivers-1.0.0-cgslv5u4.el7.cgsl2172.x86_64.rpm

common-nic-drivers-1.0.0-cgslv5u4.el7.cgsl2172.x86_64.rpm

i40e-2.0.30-1.cgslv5u4.el7.cgsl2172.x86_64.rpm

kernel-3.10.0-693.11.6.el7.cgsl2166.x86_64.rpm

已经发布

CGSL

V4.05.F11

2018.1.20

kernel-2.6.32-642.13.1.el6.cgsl7594.x86_64.rpm

kernel-devel-2.6.32-642.13.1.el6.cgsl7594.x86_64.rpm

kernel-headers-2.6.32-642.13.1.el6.cgsl7594.x86_64.rpm

microcode_ctl-1.17-25.2.el6_9.x86_64.rpm

perf-2.6.32-642.13.1.el6.cgsl7594.x86_64.rpm

python-perf-2.6.32-642.13.1.el6.cgsl7594.x86_64.rpm

已经发布

CGSL V4.02.20.P2.F27

2018.1.26

kernel-devel-2.6.32-220.el6.x86_64.rpm

kernel-2.6.32-220.el6.x86_64.rpm       

kernel-headers-2.6.32-220.el6.x86_64.rpm       

kernel-firmware-2.6.32-220.el6.noarch.rpm

perf-2.6.32-220.el6.x86_64.rpm

kernel-3.10.0-693.11.6.el7.cgsl2166.x86_64.rpm

kernel-devel-3.10.0-693.11.6.el7.cgsl2166.x86_64.rpm

kernel-headers-3.10.0-693.11.6.el7.cgsl2166.x86_64.rpm

kernel-tools-3.10.0-693.11.6.el7.cgsl2166.x86_64.rpm

kernel-tools-libs-3.10.0-693.11.6.el7.cgsl2166.x86_64.rpm

perf-3.10.0-693.11.6.el7.cgsl2166.x86_64.rpm

python-perf-3.10.0-693.11.6.el7.cgsl2166.x86_64.rpm

因上游厂家存在缺陷,暂停补丁,未发布

2. 中兴通讯CCN产品漏洞补丁验证进展

在上游厂家给出补丁后,CCN产品团队进启动了CCN网元的漏洞补丁务验证测试,目前收到Intel公司的通知,暂停对应的测试,等待Intel公司给出下一步建议指导。可通过访问中兴通讯support网站获得漏洞进展信息: http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008923

影响产品

影响版本

处理进展

CGSL

V4、 V5、Core V1.x

1月9日,发布V5.04.F2修复版本;

1月20日,发布4.05.F11修复版本;

由于修复补丁性能问题,暂停发布CGSL V4.02、v4.03和V5.03修复版本。

VPLAT

ZXVEi、ZXVE

1月12日,发布ZXVEi V3.18.41.B1修复版本;

1月16日,发布ZXVEi V3.17.1.F10.EF11修复版本;

1月17日,发布ZXVEi V3.17.1.F20_20180117、V1.02.10.P7_20180117修复版本;

由于修复补丁性能问题,暂停发布ZXVEi V3.17.4/7/10/11修复版本。

EPC

所有版本

修复方案拟制中。

IMS

所有版本

修复方案拟制中。

SDM

所有版本

修复方案拟制中。

CS

所有版本

修复方案拟制中。

CG

所有版本

修复方案拟制中。

EMS

所有版本

修复方案拟制中。

MANO

所有版本

修复方案拟制中。

VAS

所有版本

修复方案拟制中。

TECS

所有版本

修复方案拟制中。

MCG 5311

 

等待供应商发布补丁。

MCG 5362

 

等待供应商发布补丁。

ATCA

 

预计1月23日发布修复补丁。

现阶段的漏洞安全防护建议

中兴通讯CCN产品团队建议客户联系中兴通讯当地的技术服务人员下载已发布的《CCN产品非虚拟化传统网元应对处理器Meltdown漏洞和Spectre漏洞处理方案》/《CCN产品虚拟化网元应对处理器Meltdown漏洞和Spectre漏洞处理方案》进行系统安全加固,提升系统防护能力,抵御木马攻击,降低漏洞受影响概率。

更新记录

2018-1-8,初始发布;

2018-1-10,更新影响和修复;

2018-1-19,更新影响和修复;

2018-2-5,更新影响和修复;

中兴通讯PSIRT

如果您需要获取帮助、反馈中兴通讯产品的漏洞信息、获取中兴通讯公司产品安全事件响应服务及获取中兴通讯产品漏洞信息,请联系中兴通讯产品安全事件响应组(ZTE PSIRT):psirt@zte.com.cn,PGP Key ID:FF095577。