RHEL 6 / 7:microcode_ctl (RHSA-2018: 0093) (Spectre)

medium Nessus Plugin ID 106088

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 6、Red Hat Enterprise Linux 6.2 Advanced Update Support、Red Hat Enterprise Linux 6.4 Advanced Update Support、Red Hat Enterprise Linux 6.5 Advanced Update Support、Red Hat Enterprise Linux 6.6 Advanced Update Support、Red Hat Enterprise Linux 6.6 Telco Extended Update Support、Red Hat Enterprise Linux 6.7 Extended Update Support、Red Hat Enterprise Linux 7、Red Hat Enterprise Linux 7.2 Advanced Update Support、Red Hat Enterprise Linux 7.2 Telco Extended Update Support、Red Hat Enterprise Linux 7.2 Update Services for SAP Solutions 和 Red Hat Enterprise Linux 7.3 Extended Update Support 的 microcode_ctl 更新。

Red Hat 產品安全性團隊已將此更新評等為具有「重要」安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

microcode_ctl 套件提供 Intel 和 AMD 處理器的微碼更新。

此更新將 Red Hat 提供的微碼取代為 CVE-2017-5715 (「Spectre」) CPU 分支注入弱點緩和措施。(Red Hat 過去已提供由我們微處理器合作夥伴開發的更新微碼,方便客戶使用。) 在後續測試中發現,提出「Spectre」緩和措施時所提供的微碼可能導致系統不穩定的問題。因此,Red Hat 將提供微碼更新,以將微碼回復為 2018 年 1 月 3 日前的最後正確微碼版本。Red Hat 強烈建議客戶聯絡其硬體供應商,以取得最新的微碼更新。

重要:使用 Intel Skylake-、Broadwell- 和 Haswell 型平台的客戶,必須立即從其硬體廠商取得並安裝更新的微碼。「Spectre」緩和措施既需要來自 Red Hat 的更新核心,也需要來自您硬體廠商的更新微碼。

解決方案

更新受影響的 microcode_ctl 和/或 microcode_ctl-debuginfo 套件。

另請參閱

http://www.nessus.org/u?892ef523

https://access.redhat.com/security/cve/cve-2017-5715

https://access.redhat.com/errata/RHSA-2018:0093

Plugin 詳細資訊

嚴重性: Medium

ID: 106088

檔案名稱: redhat-RHSA-2018-0093.nasl

版本: 3.18

類型: local

代理程式: unix

已發布: 2018/1/17

已更新: 2021/4/15

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: High

分數: 7.6

CVSS v2

風險因素: Low

基本分數: 1.9

時間分數: 1.7

媒介: CVSS2#AV:L/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

風險因素: Medium

基本分數: 5.6

時間分數: 5.4

媒介: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:microcode_ctl, p-cpe:/a:redhat:enterprise_linux:microcode_ctl-debuginfo, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:6.2, cpe:/o:redhat:enterprise_linux:6.4, cpe:/o:redhat:enterprise_linux:6.5, cpe:/o:redhat:enterprise_linux:6.6, cpe:/o:redhat:enterprise_linux:6.7, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.2, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2018/1/16

弱點發布日期: 2018/1/4

參考資訊

CVE: CVE-2017-5715

IAVA: 2018-A-0020

RHSA: 2018:0093