关键词:
事件描述2018年1月4日,Jann Horn等安全研究者披露了"Meltdown"(CVE-2017-5754)和"Spectre"(CVE-2017-5753 & CVE-2017-5715)两组CPU特性漏洞。
据悉,漏洞会造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露(浏览器形式)用户信息或本地泄露更高权级的内存信息。
实际攻击场景中,攻击者在一定条件下可以做到:
泄露出本地操作系统底层运作信息,秘钥信息等;
通过获取泄露的信息,可以绕过内核(Kernel), 虚拟机超级管理器(HyperVisor)的隔离防护;
云服务中,可以泄露到其它租户隐私信息;
通过浏览器泄露受害者的帐号,密码,内容,邮箱, cookie等用户隐私信息;
事件影响面
漏洞风险等级严重,影响广泛:
近20年的Intel, AMD, Qualcomm厂家和其它ARM的处理器受到影响;
因为此次CPU漏洞的特殊性,包括Linux, Windows, OSX等在内的操作系统平台参与了修复;
Firefox, Chrome, Edge等浏览器也发布了相关的安全公告和缓解方案;
漏洞编号
Meltdown
CVE-2017-5754
Spectre漏洞
CVE-2017-5715
CVE-2017-5753
pfSense更新进展
2018年1月8日,pfsense官方博客对漏洞的修复发表了一个声明,内容翻译如下:
我们之前已经发表了一个简短的声明,对Meltdown和Specter漏洞进行了初步分析。这个帖子现进行了更新,我们有一个FreeBSD项目的官方声明。
到目前为止,这个问题有三个已知变种:
变种1:bounds check bypass(边界检查绕过),通过污染分支预测,来绕过kernel或hypervisor的内存对象边界检测。比如,攻击者可以对高权级的代码段,或虚拟环境中hypercall,通过构造的恶意代码来触发有越界的数据下标,造成越界访问。
变种2:branch target injection(分支目标注入), 污染分支预测。抽象模型比较好的代码往往带有间接函数指针调用的情况,CPU在处理时需要会进行必要的内存访问,这个过程有点慢,所以CPU会预测分支。攻击者可以通过类似的ROP的方式来进行信息泄露。
变种3:rogue data cache load(流氓数据加载),部分CPU上,为了速度并不是每次都对指令作权限检查的,检查的条件存在一定的缺陷;
这些通常被称为幽灵(变种1和2)和熔毁(变种3)。
FreeBSD开发人员正在对变种3进行修复,修复进度可以在这里监控。 正如我们假设的那样,这些变化是广泛的。 FreeBSD开发人员需要更长一些的时间进行测试,然后开始将这些补丁程序应用到FreeBSD 11和10,一旦这些补丁程序可以正常使用,pfSense?2.4.x和amd64体系结构的pfsense将首先得到修复。
一旦开发快照就绪,我们将在我们的设备上对pfSense进行基准测试,以测试性能差异变化。 在测试完成之后,我们将发布pfSense 2.4.3版,对变体3进行修复。
变种1和2的漏洞需要更长时间才能解决,但对于大多数用户来说,这不应该成为问题。 变种1中实际存在弱点的案例数量很少,需要做更多的分析。 目前对于变种2来说,有一个叫做“retpoline”的概念,可以缓解这个问题,并可能被FreeBSD使用。
我们对pfSense软件用户的安全建议:
我们大多数用户不应该担心,只要他们按照我们的基本指导方针来限制访问WebGUI,shell以及物理访问pfSense设备。
如果您正在运行虚拟化的pfSense实例,请确保更新您的主机。 主要的虚拟化厂商已经发布了针对Meltdown和/Spectre的更新。
我们的亚马逊网络服务和微软Azure客户是安全的,因为这两个提供商已经修补他们的基础设施对这些漏洞。
我们要感谢FreeBSD开发者在这个问题上的快速反应和他们的努力工作。
2017-1-9
markdown为meltdown和spectre更新ubuntu内核(代码片段)
在pfsense上设置suricata
...它是多线程的,所以你可以运行一个实例,它将平衡每个处理器上的负载处理。2、Suricata会在流量开始时自动识别最常见的协议,允许规则编写者将规则写入协议,而不是预期的端口。3、Suricata可以识别网络上数以千计的文件类... 查看详情
pfsense2.3.5发布!
美国时间2017年10月31日,NETGATE公司发布了pfsense2.35版本,为用户继续提供安全和稳定的pfSense2.3.x版本。虽然NETGATE已经发布了pfSense2.4.0,但因为pfSense2.4.0以后版本不再支持i386和NanoBSD,为满足不同用户和设备的需要,NETGATE公司承诺... 查看详情
centos打补丁解决intel的spectre和meltdown漏洞
1、配置最新的外网官方yum源2、uname-r&&yumupdate3、reboot4、uname-r参考:https://linuxhint.com/check-for-and-patch-spectre-and-meltdown-on-centos7/ 查看详情
pfsense配置基于时间的防火墙规则
基于时间的规则允许防火墙规则在指定的日期和/或时间范围内激活。基于时间的规则与任何其他规则的功能相同,只是它们在预定时间之外的规则集中实际上不存在。基于时间的规则逻辑处理基于时间的规则时,调度计划确定... 查看详情
pfsense汉化教程
pfSense是一个基于FreeBSD,专为防火墙和路由器功能定制的开源版本。它被安装在计算机上作为网络中的防火墙和路由器存在,并以可靠性著称,且提供往往只存在于昂贵商业防火墙才具有的特性。它可以通过WEB页面进行配置,升... 查看详情
pfsense2.33squid透明代理设置
Squid是一个缓存Internet数据的软件,其接收用户的下载申请,并自动处理所下载的数据。当一个用户想要下载一个主页时,可以向Squid发出一个申请,要Squid代替其进行下载,然后Squid连接所申请网站并请求该主页,接着把该... 查看详情
求pfsense透明模式详细设置教程
求pfsense透明模式详细设置教程?Squid是一个缓存Internet数据的软件,其接收用户的下载申请,并自动处理所下载的数据。当一个用户想要下载一个主页时,可以向Squid发出一个申请,要Squid代替其进行下载,然后Squid连接所申请网... 查看详情
pfsense多wan设置
...功能故障排查一站式多WANIPv6的多WAN多链路的PPPoE(MLPPP)pfSense的多WAN(多WAN)功能允许防火墙利用多个Internet连接来实现更可靠的连接和更大的吞吐能力。在进行多WAN配置之前,防火墙必须 查看详情
meltdownattack
...预测执行(SpeculativeExecution)。乱序执行与预测执行早期的处理器依次顺序执行既定的处理器指令,而现代处理器为了提高性能并不严格按照指令的顺序串行执行,而是对执行进行相关性分析后并行处理乱序执行。比如当处理器中... 查看详情
pfsense版本分类
相信使用pfsense的初级用户,对pfsense的各版本的分类可能一开始都弄不清楚,根据pfsense的官方指南,pfsense分i386(32位)和amd64(64位)两种架构,每个文件名都是根据这两种架构来进行分类。amd64架构(即使在Intel64位CPU上也可以... 查看详情
pfsense2.4.2-release发布!
pfSense2.4.2-RELEASE发布2017年11月21日by吉姆·平格尔我们很高兴地宣布pfSense软件版本2.4.2的正式发布,现在可用于进行安装和升级!pfSense2.42的改进:已更新至OpenSSL1.0.2m以解决CVE-2017-3736和CVE-2017-3735的问题修复了三个潜在的XSS向量修... 查看详情
pfsense是啥
PFSENSE是什么有什么用是LINUX的一种发布版本,pfSense是源自于m0n0wall的操作系统。它使用的技术包括PacketFilter,FreeBSD6.x(或DragonFlyBSD,假如ALTQ和CARP完成了的话)的ALTQ(以出色地支持分组队列),集成的包管理系统(以为其环境... 查看详情
pfsense如何创建和配置vlan
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比... 查看详情
pfsense邮件报告的使用
pfsense中的mailreport(邮件报告)插件可以允许你设置包含命令输出和日志文件内容的定期电子邮件报告,通过手机邮件客户端,可以让你及时掌握防火墙的运行状况。下面,我们来进行设置。本教程使用pfSense2.42-P1中文版,mairepor... 查看详情
pfsense2.4中文语言翻译进度
今年2月2日参加pfsense2.4中文语言翻译,截止目前pfsense2.4的翻译已基本完成。在4月份的时候主要的汉化已经完成,后续又经过了三次仔细的校正,可以保证pfsense2.4算是第一个彻彻底底的带中文的原版系统了。简体中文完成后,又... 查看详情
pfsense2.4正式发布!
...10月12日晚上23点、美国时间上午11点,Netgate公司正式发布pfsense2.4RELEASE!这个版本带来了很多新的变化,基于freeBSD11.1核心,有13种语言,其中中文(繁体和简体)由本人独立翻译完成! 新版本的主要变化如下: 基于FreeBS... 查看详情
pfsense设置snort
概述 Snort是入侵检测和预防系统。它可以将检测到的网络事件记录到日志并阻止它们。Snort使用称为规则的检测签名进行操作。Snort规则可以由用户自定义创建,或者可以启用和下载几个预打包规则集中的任何一个。最常... 查看详情