摘要
Microsoft 发现了一个新的推理执行侧信道漏洞(称为 L1 终端故障 (L1TF)),已为其指定了多个 CVE,如下表所示。 此漏洞会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器。 有关更多信息,请参阅 Intel 的通报,网址为: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html。
Microsoft 目前尚未收到任何信息表明已有人利用此漏洞攻击我们的客户。 Microsoft 会继续与业内合作伙伴(包括芯片制造商、硬件 OEM 和应用供应商)密切合作以保护客户。 若要获得所有可用的保护,需要安装固件(微码)和软件更新。 其中包括来自设备 OEM 的微码,在有些情况下,还包括防病毒软件更新。
此通报修复了以下漏洞:
CVE |
名称 |
适用性 |
---|---|---|
L1 终端故障 |
Intel® Software Guard Extensions (SGX) |
|
L1 终端故障 |
操作系统 (OS)、系统管理模式 (SMM) |
|
L1 终端故障 |
Virtual Machine Manager (VMM) |
若要了解有关此类漏洞的更多信息,请参阅 ADV180018。
概述
以下部分将帮助你确定、缓解和补救受 Microsoft 安全通报 ADV180018 中识别的漏洞影响的 Azure Stack 环境。
为了解决这些问题,Microsoft 正致力于与硬件行业开展合作以制定缓解措施和指导。
建议的操作
Azure Stack 客户应采取下列措施以帮助保护 Azure Stack 基础结构免受漏洞攻击:
-
应用 Azure Stack 1808 更新。 有关如何对 Azure Stack 集成系统应用此更新的说明,请参阅 Azure Stack 1808 更新发行说明。
-
安装 Azure Stack OEM 供应商提供的固件更新。 请参阅 OEM 供应商网站来下载和应用这些更新。
常见问题解答
问题 1: 如何判断 Azure Stack 是否受到此类漏洞的影响?
回答 1: 所有 Azure Stack 集成系统都会受到此类漏洞的影响,如 MSRC 安全通报 ADV180018 中所述。
问题 2: 可以在哪里找到 Azure Stack 更新以修复此类漏洞?
回答 2: 有关如何对 Azure Stack 集成系统下载并应用此更新的说明,请参阅 Azure Stack 1808 更新发行说明。 有关 Microsoft Azure Stack 更新的更多信息,请参阅 http://aka.ms/azurestackupdate。
问题 3: 可以在哪里找到适用于 Azure Stack 集成系统的固件更新?
回答 3: 固件更新是 OEM 特定的。 请参阅 OEM 供应商网站来下载和应用这些更新。
问题 4: 我的 Azure Stack 集成系统未运行最新更新(版本 1807)。 我该怎么办?
回答 4: Azure Stack 更新是连续的。 必须在应用 Azure Stack 1808 更新前应用所有先前的更新。
问题 5: 我正在运行 Azure Stack 开发工具包 (ASDK)。 它会受此类漏洞影响吗?
回答 5: 是,会的。 我们建议你部署 ASDK 的最新版本。 有关固件更新,请参阅 OEM 供应商网站来下载和应用这些更新。
问题 6: 我是否需要更新虚拟机的操作系统以将我的应用程序与其他 Azure Stack 租户隔离?
回答 6:虽然隔离 Azure Stack 上运行的应用程序与其他 Azure Stack 租户不需要操作系统更新,但最佳做法是使软件保持最新状态。 Windows 的最新安全汇总包含多个推理执行侧信道漏洞的缓解措施。 同样,Linux 分发版已发布多个更新来修复这些漏洞。
问题 7: 是否存在与此侧信道漏洞缓解措施相关的性能影响?
回答 7: 如 Microsoft 安全通报 ADV180018 中所述,在测试期间,Microsoft 已发现这些缓解措施会对性能产生一些影响,具体取决于系统的配置以及所需的缓解措施。 Azure Stack 1808 发行版包含 Microsoft 建议的所有软件配置更新,可缓解任何潜在的性能影响。 如果遇到性能影响,请重启在 Azure Stack 上运行的虚拟机。 为了有效,必须从 Azure Stack 门户或通过 Azure Stack 中的 Azure CLI 执行重启操作。