防範理論式執行端通道弱點的 Azure Stack 指引

適用於: Azure Stack

摘要


Microsoft 已知稱為「理論式執行端通道攻擊」的新公開揭露等級弱點,這些弱點影響許多新型處理器和作業系統,其中包括 Intel、AMD 和 ARM。

Microsoft 目前尚未收到任何資訊,指出客戶已遭受這些弱點的攻擊。 Microsoft 會持續與晶片製造商、硬體 OEM 和應用程式廠商等業界合作夥伴密切合作,一同保護客戶。 若要取得所有可用的保護,則必須安裝硬體或韌體更新和軟體更新。 這包括來自裝置 OEM 的微碼,在某些情況下,還包括防毒軟體的更新。

這個資訊安全諮詢解決下列弱點:

  • CVE-2017-5715 (分支目標導入)

  • CVE-2017-5753 (範圍檢查略過)

  • CVE-2017-5754 (Rogue 資料快取載入)

若要深入了解這個弱點等級,請參閱 ADV180002

概觀


下列章節將協助您識別受到 Microsoft 資訊安全諮詢 ADV180002 所述弱點影響的 Azure Stack 環境,並協助避免攻擊和進行補救。

為了解決這些問題,Microsoft 正與硬體業界合作開發緩和措施及指引。

建議動作


Azure Stack 客戶應採取下列動作,以協助保護 Azure Stack 基礎結構防範弱點:

  1. 套用 Azure Stack 1712 更新。 請參閱 Azure Stack 1712 更新版本資訊 (英文),取得有關如何將這個更新套用到 Azure Stack 整合式系統的指示。

  2. 在 Azure Stack 1712 更新安裝完成之後,安裝 Azure Stack OEM 廠商提供的韌體更新。 請參閱您的 OEM 廠商網站,以下載並套用更新。

  3. 這些弱點的某些變化也會套用到租用戶空間中執行的虛擬機器 (VM)。 客戶應持續為他們的 VM 映像套用安全性最佳作法,並對 Azure Stack 上執行的 VM 映像套用所有可用的作業系統更新。如有需要,請與您的作業系統廠商連絡,以取得更新和指示。 對於 Windows VM 客戶,指引現已發行,並在這個安全性更新導覽中提供使用。

常見問題集


問 1: 如何判斷我的 Azure Stack 是否受到這個弱點等級的影響?

答 1: 所有 Azure Stack 整合式系統都會受到 MSRC 資訊安全諮詢 ADV180002 所述弱點等級的影響。

問 2: 我可以在哪裡找到 Azure Stack 更新,以修正這個弱點等級?

答 2:請參閱 Azure Stack 1712 更新版本資訊 (英文),取得有關如何將這個更新下載到 Azure Stack 整合式系統並加以套用的指示。 如需有關 Microsoft Azure Stack 更新的詳細資訊,請參閱 http://aka.ms/azurestackupdate

問 3: 我可以在哪裡找到適用於 Azure Stack 整合式系統的韌體更新?

答 3:韌體更新屬於 OEM 特定更新。 請參閱您的 OEM 廠商網站,以下載並套用更新。

問 4: 我的 Azure Stack 整合式系統未執行最新更新 (1711)。 我該怎麼辦?

答 4:Azure Stack 更新是連續的。 您必須先套用所有先前的更新,才能套用 Azure Stack 1712 更新。 如需詳細資訊,請參閱 Azure Stack 1711 更新

問 5: 我執行的是 Azure Stack 開發套件 (ASDK)。 是否受到這個弱點等級的影響?

答 5:是的。 建議您部署 ASDK 最新版本。如需韌體更新,請參閱 OEM 廠商網站,以下載並套用更新。