技術支援
文件
登錄
聯繫我們
英特爾 CPU 上的垮臺(收集數據採樣)漏洞 (CVE-2022-40982)
若昂·科雷亞
2023年8月16 日 - 技術佈道師
本博客文章中的一些資訊來源於紅帽公告、英特爾收集數據採樣技術白皮書和英特爾安全公告 INTEL-SA-00828。
稱為收集數據採樣 (GDS) 的漏洞(也稱為「垮臺」)可能導致過時數據暴露,並可能影響使用某些英特爾 CPU 的客戶,特別是那些使用英特爾高級向量擴展指令集 2(英特爾 AVX2)和英特爾高級向量擴展指令集 512(英特爾 AVX-512)的客戶。請閱讀此博客文章以瞭解此安全漏洞以及如何修復它,並確保回來查看任何更新。
收集數據採樣 (GDS) 的當前狀態
某些 Intel CPU 中的此瞬態執行側通道漏洞可能允許攻擊者使用數據採樣攻擊從以前使用的 AVX2 或 AVX-512 向量寄存器中檢索過時數據。在最壞的情況下,攻擊可用於提取加密密鑰。
根據Red Hat的說法,可以通過安裝更新的CPU微碼來緩解Downfall漏洞。此微碼更新將在 microcode_ctl 包的進一步版本中提供。
英特爾還發佈了收集數據採樣技術論文和英特爾安全公告 INTEL-SA-00828。
有哪些風險?
註冊為 CVE-2022-40982 的 GDS 或 Downfall 漏洞可能由於 CPU 硬體優化而暴露以前使用向量寄存器的陳舊數據。威脅僅限於同一物理處理器內核,並隱式影響使用AVX指令或內部向量寄存器的指令處理的數據。
暴露僅限於採樣基礎,並且不直接允許攻擊者控制或指定過時數據的來源。
由於基於虛擬化的系統具有共用資源性質,其中多個虛擬機可能被分配到相同的 CPU 內核,因此可以利用此漏洞洩露不同安全上下文(即其他虛擬機甚至主機)中包含的資訊。
垮臺漏洞的性能影響
微碼緩解對性能的影響僅限於使用AVX2和AVX-512提供的收集指令以及CLWB指令的應用程式。實際性能影響將取決於應用程式使用這些指令的程度。紅帽的測試顯示,最壞情況下的微基準測試明顯放緩,但在更現實的應用中,只有較低的個位數百分比放緩。
當前解決方案
那麼,您現在可以做些什麼來保護您的系統免受GDS(又名Downfall漏洞)的侵害?
安裝微碼更新:通過監控 CVE 頁面檢查修復程式的可用性。默認情況下,在安裝微碼后,將在受影響的CPU上啟用緩解措施,無論使用的內核版本如何。
更新內核:這增加了漏洞和緩解狀態報告以及禁用緩解的功能。潛在安全問題的實際修復由微碼更新本身解決,而不是內核補丁。
禁用緩解措施(可選):使用者可以決定在風險分析后禁用緩解措施,方法是將 gather_data_sampling=off 添加到內核命令行或使用緩解措施=off。
注意:無論以後是否刪除緩解措施,CLWB 性能損失在 Skylake 架構上都是永久性的。
診斷步驟
應用微碼和內核更新后,可以通過運行以下命令之一來檢查緩解狀態:
# dmesg | grep "GDS: "
[ 0.162571] GDS: Mitigation: Microcode
# cat /sys/devices/system/cpu/vulnerabilities/gather_data_sampling
Mitigation: Microcode
當發現有關此漏洞的新相關信息時,我們將更新此博客文章。如果您是 KernelCare Enterprise 使用者,請按照我們的文檔瞭解如何更新您使用的 Linux 發行版的微碼。保持警惕,並保持系統更新以保持保護。
