【大话IT】如何看待最近爆出的Intel CPU设计漏洞？

lbseraph

1. 你是否了解该事件，说说您对该事件的看法和推测？（英特尔CPU出现何种bug）
   大部分做IT的这两周应该都在关注这个事件，这个不用推测，都是公告出来的东西了。主要是利用CPU设计缺陷的2个漏洞，一个叫Meltdown（熔断），对应CVE-2017-5754；另外一个是Spectre（幽灵），对应CVE-2017-5753和CVE-2017-5715。
   在下面2个地方有详细的说明：
   https://meltdownattack.com/
   https://googleprojectzero.blogsp ... mory-with-side.html
   知乎上也有不少讨论：https://www.zhihu.com/question/2 ... mputm_medium=social
   前面有不少说明了，我就不重复解释。我想说些其他的，这次的事件其实不单单是Intel的CPU有受到影响，甚至连IBM的Power 7+/8/9都有受到影响(https://www.ibm.com/blogs/psirt/ ... ssors-power-family/)，IBM已经发布部分修复的firmware（见http://www-01.ibm.com/support/docview.wss?uid=isg3T1026811），在fixCentral可以找到对应产品的新固件。

2. 该问题对linux内核系统问题有哪些影响？（从第一个问题衍生对linux内核系统安全的思考，模拟攻击者滥用漏洞，进行非法手段）
   对Linux内核系统影响大的主要是Meltdown（熔断）这个漏洞，它是利用了“预测执行”的设计缺陷来实现的，可以读取Linux或Mac OS的整个物理内存和Windows的大部分物理内存，甚至是读取其他进程的物理内存（比如使用内核共享技术的Docker等，都可以读取内核或Hypervisor内存）。简单来说，利用这个漏洞，你跑在云上的虚拟机，可以被在同一个物理机运行的另外一个虚拟机入侵读取到你的虚拟机内容。这个看得恐怖了吧？这也是有些报道里说那些云提供商（比如AWS或微软的Azure）面临的压力更大。

3.如文中所提到的，单靠软件开发是否可以规避该漏洞？如果是，需要做哪些调整和改动？
  这2个漏洞是硬件设计本身导致的，单纯靠软件开发来规避的话不知道是否能完整规避该漏洞，目前了解到OS的补丁其实是牺牲性能的。可以看到IBM的Power的解决方法是包括2部分的，硬件层面固件升级，系统层面也要打补丁，而且也说明了系统补丁要生效是要求硬件固件先升级的。

下面列出一些OS厂家提供的补丁说明：
VMware: https://kb.vmware.com/s/article/52264
Redhat: https://access.redhat.com/securi ... peculativeexecution
SuSe:   https://www.suse.com/support/kb/doc/?id=7022512
Ubuntu: https://wiki.ubuntu.com/Security ... /SpectreAndMeltdown