CentOS 6 / 7:microcode_ctl (CESA-2018: 0093) (Spectre)

medium Nessus 插件 ID 106107

简介

远程 CentOS 主机缺少安全更新。

描述

microcode_ctl 的更新现在可用于 Red Hat Enterprise Linux 6、Red Hat Enterprise Linux 6.2 Advanced Update Support、Red Hat Enterprise Linux 6.4 Advanced Update Support、Red Hat Enterprise Linux 6.5 Advanced Update Support、Red Hat Enterprise Linux 6.6 Advanced Update Support、Red Hat Enterprise Linux 6.6 Telco Extended Update Support、Red Hat Enterprise Linux 6.7 Extended Update Support、Red Hat Enterprise Linux 7、Red Hat Enterprise Linux 7.2 Advanced Update Support、Red Hat Enterprise Linux 7.2 Telco Extended Update Support、Red Hat Enterprise Linux 7.2 Update Services for SAP Solutions 和 Red Hat Enterprise Linux 7.3 Extended Update Support.

Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。

microcode_ctl 程序包提供 Intel 和 AMD 处理器的微代码更新。

此更新取代 Red Hat 针对微代码提供的 CVE-2017-5715 (’Spectre’) CPU 分支注入漏洞缓解措施。(Red Hat 曾提供由我们的微处理器合作伙伴所开发的微代码更新,方便用户使用。)进一步测试揭露出与可导致系统不稳定的 ‘Spectre’ 缓解措施共同提供的微代码中的诸多问题。因此,Red Hat 提供的代码更新是恢复至 2018 年 1 月 3 日前最新的已知最佳微代码版本。Red Hat 强烈建议用户联系硬件供应商索取最新的微代码更新。

重要:使用基于 Intel Skylake、Broadwell 和 Haswell 平台的用户必须立即从硬件供应商处获取并安装微代码更新。‘Spectre’ 缓解措施需要 Red Hat 的已更新内核,以及从硬件供应商处获得的已更新微代码。

解决方案

更新受影响的 microcode_ctl 程序包。

另见

http://www.nessus.org/u?6a450f57

http://www.nessus.org/u?3a192b78

插件详情

严重性: Medium

ID: 106107

文件名: centos_RHSA-2018-0093.nasl

版本: 3.12

类型: local

代理: unix

发布时间: 2018/1/18

最近更新时间: 2021/4/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.6

CVSS v2

风险因素: Low

基本分数: 1.9

时间分数: 1.7

矢量: CVSS2#AV:L/AC:M/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2017-5715

CVSS v3

风险因素: Medium

基本分数: 5.6

时间分数: 5.4

矢量: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:centos:centos:microcode_ctl, cpe:/o:centos:centos:6, cpe:/o:centos:centos:7

必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2018/1/17

漏洞发布日期: 2018/1/4

参考资料信息

CVE: CVE-2017-5715

IAVA: 2018-A-0020

RHSA: 2018:0093