Google Compute Engine 安全公告深度解析

本文详细记录了Google Compute Engine历年来的安全公告,涵盖了从CPU微架构漏洞到操作系统层面的各类安全问题,包括Spectre、Meltdown、Dirty COW等知名漏洞的修复方案和缓解措施,为云安全实践提供重要参考。

GCP-2025-058

发布日期: 2025-10-20

描述: 在AMD Zen 5处理器(Turin)的RDSEED指令中发现一个缺陷。该指令用于生成加密随机数。在特定系统负载条件下,16位和32位版本的RDSEED可能会静默失败,这可能危及依赖随机数生成的应用程序。使用64位版本RDSEED的客户不受影响。

我该怎么办? AMD正在调查此漏洞。

需要注意的是,64位Linux内核使用安全的64位版本RDSEED指令,该指令为/dev/[u]random提供随机数。这些随机数不受此漏洞影响。

如果您的应用程序代码使用RDSEED指令自行合成随机数,请注意16位和32位版本的指令不安全。64位版本的指令是安全的。

正在解决哪些漏洞? 此漏洞允许攻击者导致RDSEED静默失败,可能危及应用程序中的随机数生成。

严重性:

GCP-2025-044

发布日期: 2025-08-12

描述: Intel已通知Google两个新的安全漏洞。

CVE-2025-21090:此漏洞影响以下Intel处理器:

  • Sapphire Rapids:C3、Z3、H3、A3、v5p VM系列
  • Emerald Rapids:N4、C4、M4、A3 Ultra、A4 VM系列
  • Granite Rapids:N4、C4 VM系列

CVE-2025-22840:此漏洞影响以下Intel处理器:

  • Granite Rapids:N4、C4 VM系列

我该怎么办? 对于任一漏洞,客户无需采取任何操作。Google将在您的标准和计划维护窗口期间主动更新您的系统。目前,尚未发现或向Google报告任何利用证据。

正在解决哪些漏洞? 漏洞CVE-2025-21090允许利用AMX CPU指令与AVX CPU指令结合的无特权参与者使主机机器无法运行。

漏洞CVE-2025-22840允许利用prefetchit CPU指令的无特权参与者加载其本无法访问的内存内容,可能导致远程代码执行。

严重性:

相关CVE: CVE-2025-21090、CVE-2025-22840

GCP-2025-042

发布日期: 2025-08-11

描述: 研究人员在特定Intel CPU中发现安全漏洞,包括基于Skylake、Broadwell和Haswell微架构的CPU。此漏洞允许攻击者可能直接从CPU的L1缓存读取他们无权访问的敏感数据。

此漏洞最初于2018年在CVE-2018-3646中披露。发现此漏洞后,Google立即实施了解决已知风险的缓解措施。当时发布了有关该漏洞和初始修复的通信。此后,我们一直在研究剩余风险,并与上游Linux社区合作修复此风险。

最近,我们与学术界的安全研究人员合作评估CPU安全缓解措施的最新状态,以及2018年未考虑的潜在攻击技术。

Google已对受影响资产(包括Google Cloud)应用修复以缓解此问题。

我该怎么办? 客户无需采取任何操作。缓解措施已应用于Google服务器群。

正在解决哪些漏洞? 有关更多信息,请参阅Intel公告INTEL-SA-00161和CVE-2018-3646。

严重性:

相关CVE: CVE-2018-3646

GCP-2025-031

发布日期: 2025-06-10

描述: 可信计算组(TCG)报告了可信平台模块(TPM)软件漏洞,该漏洞影响使用虚拟TPM(vTPM)的屏蔽VM。此漏洞允许经过身份验证的本地攻击者读取敏感vTPM数据或影响vTPM可用性。

vTPM访问通常是特权操作。但是,某些配置可能允许更广泛的vTPM访问。

我该怎么办? 客户无需采取任何操作。Google将在您的标准和计划维护窗口期间主动更新您的系统。但是,您可以将vTPM访问限制为管理(root)用户;此操作有助于降低屏蔽VM的风险。

正在解决哪些漏洞? 漏洞CVE-2025-2884允许具有vTPM接口访问权限的本地攻击者发送恶意命令。这些命令利用不匹配,读取越界(OOB)vTPM内存。此操作可能暴露敏感数据。

严重性:

相关CVE: CVE-2025-2884

GCP-2025-025

发布日期: 2025-05-13

描述: Intel已通知Google关于影响以下Intel处理器的新侧信道漏洞:CascadeLake、Ice Lake XeonSP、Ice Lake XeonD、Sapphire Rapids和Emerald Rapids。

Google已对受影响资产(包括Google Cloud)应用修复以确保客户受到保护。目前,尚未发现或向Google报告任何利用证据。

我该怎么办? 客户无需采取任何操作。修复已应用于Google服务器群以保护客户。

正在解决哪些漏洞? CVE-2024-45332。有关更多信息,请参阅Intel公告INTEL-SA-01247。

我们在此提供帮助 如果您有任何问题或需要帮助,请联系Cloud Customer Care并引用问题编号417536835。

严重性:

相关CVE: CVE-2024-45332

GCP-2025-024

发布日期: 2025-05-12 更新日期: 2025-05-13

描述: 2025-05-13更新:如果您有任何问题或需要帮助,请联系Cloud Customer Care并引用问题编号417458390。

Intel已通知Google关于影响Intel Cascade Lake处理器和Intel Ice Lake处理器的新推测执行漏洞。

Google已对受影响资产(包括Google Cloud)应用修复以确保客户受到保护。目前,尚未发现或向Google报告任何利用证据。

我该怎么办? 客户无需采取任何操作。缓解措施已应用于Google服务器群。

来自Intel原始设备制造商(OEM)和其他操作系统合作伙伴的进一步缓解措施将在可用后尽快部署,以缓解同模式间接目标选择(ITS)漏洞。

应用操作系统缓解措施后,具有长时间运行的第三代或更高版本VM的客户可能会遇到一些意外的性能下降。

正在解决哪些漏洞? CVE-2024-28956。有关更多信息,请参阅Intel安全公告INTEL-SA-01153。

严重性:

相关CVE: CVE-2024-28956

GCP-2024-040

发布日期: 2024-07-01 更新日期: 2024-08-20

描述: 更新:2024-08-20 包括TPU的补丁。

在Linux发行版可用时应用更新。请参考Linux发行版的指导。如果您使用TPU,请更新到以下修补版本之一:

  • tpu-ubuntu2204-base
  • v2-alpha-tpuv5
  • v2-alpha-tpuv5-lite

在OpenSSH中发现漏洞(CVE-2024-6387)。成功利用此漏洞允许远程未经身份验证的攻击者在目标机器上以root身份执行任意代码。

建议分析所有使用基于glibc的Linux发行版并暴露OpenSSH的Compute Engine VM是否存在易受攻击的版本。

我该怎么办? 在Linux发行版可用时应用更新。请参考Linux发行版的指导。对于Google的Container-Optimized OS,请更新到以下修补版本之一:

  • cos-113-18244-85-49
  • cos-109-17800-218-69
  • cos-105-17412-370-67
  • cos-101-17162-463-55

如果您通过Google托管服务(例如GKE)使用Container-Optimized OS,请参考该服务的安全公告以获取补丁可用性。

如果无法更新,考虑在可以打补丁之前关闭OpenSSH。默认网络预填充了default-allow-ssh防火墙规则,以允许从公共Internet进行ssh访问。要删除此访问,客户可以:

  1. 可选地创建规则以允许从受信任网络到GKE节点或项目中其他Compute Engine VM的任何所需SSH访问;然后
  2. 使用以下命令禁用默认防火墙规则: 
    1

    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

如果您创建了任何其他可能允许通过TCP端口22进行SSH的防火墙规则,请禁用它们或将源IP限制为受信任的网络。

验证您是否不再可以从Internet ssh到您的VM。此防火墙配置缓解了漏洞。

如果需要保持OpenSSH开启,您还可以执行配置更新,消除漏洞利用的竞争条件情况。这是运行时缓解。要在sshd配置中应用更改,此脚本将重新启动sshd服务。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

#!/bin/bash
set -e

SSHD_CONFIG_FILE=/etc/ssh/sshd_config
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
    echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
    sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
    echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
systemctl restart sshd

最后,监控涉及SSH服务器的任何异常网络活动。

严重性: 严重

相关CVE: CVE-2024-6387

GCP-2024-021

发布日期: 2024-04-03

描述: Compute Engine不受CVE-2024-3094影响,该漏洞影响liblzma库中xz-utils包的5.6.0和5.6.1版本,并可能导致OpenSSH实用程序被入侵。

我该怎么办? Compute Engine提供和支持的公共镜像不受此CVE影响。如果您为VM使用Compute Engine公共镜像,则无需任何操作。

如果您创建了使用xz-utils包5.6.0和5.6.1版本的自定义镜像,例如以下操作系统,则可能面临风险:

  • Fedora 41和Fedora Rawhide
  • Debian testing/unstable
  • openSUSE tumbleweed

为缓解此风险,请停止使用这些操作系统或可能使用受影响操作系统的任何VM。如果您有从其他操作系统的自定义镜像构建的VM,请检查您的OS供应商以查看您的VM是否受影响。

正在解决哪些漏洞? CVE-2024-3094

严重性:

相关CVE: CVE-2024-3094

GCP-2024-001

发布日期: 2024-01-09

描述: 在TianoCore EDK II UEFI固件中发现多个漏洞。此固件用于Google Compute Engine VM。如果被利用,这些漏洞可能允许绕过安全启动,从而在安全启动过程中提供错误的测量,包括在屏蔽VM中使用时。

我该怎么办? 无需任何操作。Google已在整个Compute Engine中修补此漏洞,所有VM都受到保护,不受此漏洞影响。

此补丁缓解了哪些漏洞? 该补丁缓解了以下漏洞:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765

严重性:

相关CVE: CVE-2022-36763、CVE-2022-36764、CVE-2022-36765

GCP-2023-44

发布日期: 2023-11-15

描述: 11月14日,AMD披露了影响各种AMD服务器CPU的多个漏洞。具体来说,这些漏洞影响利用Zen核心第2代"Rome"、第3代"Milan"和第4代"Genoa"的EPYC服务器CPU。

Google已对受影响资产(包括Google Cloud)应用修复以确保客户受到保护。目前,尚未发现或向Google报告任何利用证据。

我该怎么办? 客户无需采取任何操作。修复已应用于Google Cloud的Google服务器群,包括Google Compute Engine。

此补丁缓解了哪些漏洞? 该补丁缓解了以下漏洞:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

有关更多信息,请参阅AMD安全公告AMD-SN-3005:“AMD INVD指令安全通知”,也发布为CacheWarp,以及AMD-SN-3002:“AMD服务器漏洞 - 2023年11月”。

严重性:

相关CVE: CVE-2022-23820、CVE-2021-46774、CVE-2023-20533、CVE-2023-20519、CVE-2023-20592、CVE-2023-20566、CVE-2022-23830、CVE-2023-20526、CVE-2021-26345

GCP-2023-004

发布日期: 2023-04-26

描述: 在可信平台模块(TPM)2.0中发现两个漏洞(CVE-2023-1017和CVE-2023-1018)。

这些漏洞可能允许复杂攻击者利用某些Compute Engine VM上的2字节越界读/写。

我该怎么办? 补丁已自动应用于所有易受攻击的VM。客户无需采取任何操作。

此补丁缓解了哪些漏洞? 该补丁缓解了以下漏洞:

CVE-2023-1017 使用CVE-2023-2017,可以在vTPM参数解密例程中触发缓冲区溢出。在易受攻击的VM上运行的本地攻击者可以使用此漏洞触发拒绝服务或可能在vTPM上下文中执行任意代码。

CVE-2023-1018 使用CVE-2023-2018,vTPM参数解密例程中存在越界读取。在易受攻击的VM上运行的本地攻击者可以使用此漏洞间接泄漏vTPM上下文中的有限数据。

严重性:

相关CVE: CVE-2023-1017、CVE-2023-1018

GCP-2021-026

发布日期: 2021-12-14

描述: Apache Log4j实用程序是用于记录请求的常用组件。2021年12月9日,报告了一个漏洞,可能允许运行Apache Log4j版本2.14.1或更低的系统被入侵,并允许攻击者执行任意代码。

2021年12月10日,NIST发布了严重通用漏洞披露警报CVE-2021-44228。更具体地说,配置、日志消息和参数中使用的Java命名目录接口(JNDI)功能不防止攻击者控制的LDAP和其他JNDI相关端点。当启用消息查找替换时,可以控制日志消息或日志消息参数的攻击者可以从远程服务器加载执行任意代码。

我该怎么办?

  • M4CE v4.x:Migrate for Compute Engine(M4CE)团队于2021年12月13日提供了新版本。项目管理员需要使用新版本替换现有部署,包括云内M4CE Manager和M4CE"本地"后端。有关版本4.11部署详细信息,请参阅操作指南。
  • M2VMs v5.x:M2VMs v5.0及更高版本已修复,无需任何操作。

严重性: 严重

相关CVE: CVE-2021-44228

GCP-2021-001

发布日期: 2021-01-28

描述: 最近在Linux实用程序sudo中发现漏洞,描述为CVE-2021-3156,可能允许在安装了sudo的系统上具有无特权本地shell访问权限的攻击者将其权限升级到系统上的root。

Compute Engine影响 运行Compute Engine的基础架构不受此漏洞影响。运行Linux的Compute Engine VM应考虑更新其客户操作系统。例如,如果您使用Container-Optimized OS,我们建议您更新到以下镜像之一:cos-85-13310-1209-7、cos-81-12871-1245-6、cos-dev-89-16091-0-0或更高版本。

严重性:

相关CVE: CVE-2021-3156

发布日期:2020-08-27

描述: Eclypsium披露了以下CVE:CVE-2020-10713。

漏洞 响应初始漏洞报告,对GRUB2代码应用了额外审查,Canonical发现了以下额外漏洞:

  • CVE-2020-14308
  • CVE-2020-14309
  • CVE-2020-14310
  • CVE-2020-14311
  • CVE-2020-15705
  • CVE-2020-15706
  • CVE-2020-15707

这些漏洞统称为BootHole,允许具有管理权限的攻击者加载未签名的二进制文件,从而禁用安全启动强制执行。

Compute Engine影响 运行Compute Engine的主机基础架构受到保护,不受已知攻击。

鼓励使用安全启动的Compute Engine客户更新其实例上的客户操作系统,以防止在其客户环境中被利用的可能性。有关详细信息,请参考您的客户OS供应商推荐的缓解措施。

修补镜像和供应商资源 我们将在此处提供每个操作系统供应商的补丁信息链接。这些公共镜像的早期版本不包含这些补丁,也不缓解潜在攻击:

  • 项目centos-cloud:CentOS补丁信息

    • centos-7-v20200811
    • centos-8-v20200811

  • 项目cos-cloud:

    • cos-77-12371-1072-0
    • cos-81-12871-1185-0
    • cos-rc-85-13310-1028-0
    • cos-dev-86-15103-0-0

如果您通过托管服务(例如GKE)使用COS,请遵循该服务的指导以应用更新。

  • 项目debian-cloud:DSA-4753

    • debian-10-buster-v20200805

  • 项目coreos-cloud:

    • coreos-alpha-2163-2-1-v20190617
    • coreos-beta-2135-3-1-v20190617
    • coreos-stable-2079-6-0-v20190617

  • 项目rhel-cloud/rhel-sap-cloud:Red Hat漏洞响应

    • rhel-7-v20200811
    • rhel-7-4-sap-v20200811
    • rhel-7-6-sap-v20200811
    • rhel-7-7-sap-v20200811
    • rhel-8-v20200811

  • 项目suse-cloud/suse-sap-cloud:SUSE KB

    • sles-12-sp5-v20200813
    • sles-15-sp2-v20200804
    • sles-12-sp4-sap-v20200804
    • sles-12-sp5-sap-v20200813
    • sles-15-sap-v20200803
    • sles-15-sp1-sap-v20200803
    • sles-15-sp2-sap-v20200804

  • 项目ubuntu-os-cloud:Ubuntu Wiki

    • ubuntu-1604-xenial-v20200729
    • ubuntu-1804-bionic-v20200729
    • ubuntu-2004-focal-v20200729

严重性:

相关CVE: CVE-2020-10713、CVE-2020-14308、CVE-2020-14309、CVE-2020-14310、CVE-2020-14311、CVE-2020-15705、CVE-2020-15706、CVE-2020-15707

发布日期:2020-06-19

描述: 启用OS Login的VM可能容易受到权限升级漏洞的影响。这些漏洞使被授予OS登录权限(但未授予管理员访问权限)的用户能够升级到VM中的root访问权限。

漏洞 为Compute Engine镜像确定了以下三个由于过于宽松的默认组成员身份引起的漏洞:

  • CVE-2020-8903:使用adm用户,您可以利用DHCP XID获取管理权限。
  • CVE-2020-8907:使用docker用户,您可以挂载和修改主机OS文件系统以获取管理权限。
  • CVE-2020-8933:使用lxd用户,您可以附加主机OS文件系统并获取管理权限。

修补镜像和修复 在v20200506之后创建的所有Compute Engine公共镜像都已修补。

如果您需要在不更新到镜像的更高版本的情况下修复此问题,您可以编辑/etc/security/group.conf文件并从默认OS Login条目中删除adm、lxd和docker用户。

严重性:

相关CVE: CVE-2020-8903、CVE-2020-8907、CVE-2020-8933

发布日期:2020-01-21

描述: Microsoft披露了以下漏洞:

CVE-2020-0601—此漏洞也称为Windows Crypto API欺骗漏洞,可能被利用使恶意可执行文件看起来受信任,或允许攻击者对受影响软件的用户连接进行中间人攻击并解密机密信息。

Compute Engine影响 运行Compute Engine的基础架构不受此漏洞影响。除非您在Compute Engine虚拟机上运行Windows Server,否则无需进一步操作。使用运行Windows Server的Compute Engine VM的客户应确保其实例具有最新的Windows补丁。

修补镜像和供应商资源 Windows公共镜像的早期版本不包含以下补丁,也不缓解潜在攻击:

  • 项目windows-cloud和windows-sql-cloud
    • 所有从v20200114开始的Windows Server和SQL Server公共镜像

严重性:

相关CVE: CVE-2020-0601

发布日期:2019-11-12

描述: Intel披露了以下CVE:

CVE-2019-11135—此CVE也称为TSX异步中止(TAA)。TAA提供了另一种使用与微架构数据采样(MDS)利用的相同微架构数据结构进行数据泄露的途径。

CVE-2018-12207—此CVE也称为"页面大小更改上的机器检查错误"。这是影响虚拟机主机的拒绝服务(DoS)漏洞,允许恶意客户使未受保护的主机崩溃。

Compute Engine影响 CVE-2019-11135 运行Compute Engine的主机基础架构隔离了客户工作负载。除非您在N2、C2或M2 VM内运行不受信任的代码,否则无需进一步操作。

在Compute Engine虚拟机内运行不受信任代码的N2、C2或M2客户在其自己的多租户服务中应停止并启动其VM,以确保它们具有最新的安全缓解措施。重新启动(无停止/启动)不足够。此指导假设您已应用先前发布的覆盖MDS漏洞的更新。如果没有,请按照说明应用适当的更新。

对于运行N1机器类型的客户,无需任何操作,因为此漏洞不代表超出先前披露的MDS漏洞的新暴露。

CVE-2018-12207 运行Compute Engine的主机基础架构受保护,不受此漏洞影响。无需进一步操作。

严重性:

相关CVE: CVE-2019-11135、CVE-2018-12207

发布日期:2019-06-18

最后更新: 2019-06-25 T 6:30 PST

描述: Netflix最近披露了Linux内核中的三个TCP漏洞:

  • CVE-2019-11477
  • CVE-2019-11478
  • CVE-2019-11479

这些CVE统称为NFLX-2019-001。

Compute Engine影响 托管Compute Engine的基础架构受保护,不受此漏洞影响。

运行未修补Linux操作系统的Compute Engine VM发送/接收不受信任的网络流量容易受到此DoS攻击。考虑在操作系统补丁可用后尽快更新这些VM实例。

关闭TCP连接的负载均衡器已修补此漏洞。仅通过这些负载均衡器接收不受信任流量的Compute Engine实例不易受攻击。这包括HTTP负载均衡器、SSL代理负载均衡器和TCP代理负载均衡器。

网络负载均衡器和内部负载均衡器不关闭TCP连接。通过这些负载均衡器接收不受信任流量的未修补Compute Engine实例容易受到攻击。

修补镜像和供应商资源 我们将在此处提供每个操作系统供应商的补丁信息链接,包括每个CVE的状态。这些公共镜像的早期版本不包含这些补丁,也不缓解潜在攻击:

  • 项目debian-cloud:

    • debian-9-stretch-v20190618

  • 项目centos-cloud:

    • centos-6-v20190619
    • centos-7-v20190619

  • 项目cos-cloud:

    • cos-dev-77-12293-0-0
    • cos-beta-76-12239-21-0
    • cos-stable-75-12105-77-0
    • cos-73-11647-217-0
    • cos-69-10895-277-0

  • 项目coreos-cloud:

    • coreos-alpha-2163-2-1-v20190617
    • coreos-beta-2135-3-1-v20190617
    • coreos-stable-2079-6-0-v20190617

  • 项目rhel-cloud:

    • rhel-6-v20190618
    • rhel-7-v20190618
    • rhel-8-v20190618

  • 项目rhel-sap-cloud:

    • rhel-7-4-sap-v20190618
    • rhel-7-6-sap-v20190618

  • 项目suse-cloud:

    • sles-12-sp4-v20190617
    • sles-15-v20190617

  • 项目suse-sap-cloud:

    • sles-12-sp1-sap-v20190617
    • sles-12-sp2-sap-v20190617
    • sles-12-sp3-sap-v20190617
    • sles-12-sp4-sap-v20190617
    • sles-15-sap-v20190617

  • 项目ubuntu-cloud:

    • ubuntu-1604-xenial-v20190617
    • ubuntu-1804-bionic-v20190617
    • ubuntu-1810-cosmic-v20190618
    • ubuntu-1904-disco-v20190619
    • ubuntu-minimal-1604-xenial-v20190618
    • ubuntu-minimal-1804-bionic-v20190617
    • ubuntu-minimal-1810-cosmic-v20190618
    • ubuntu-minimal-1904-disco-v20190618

严重性:

相关CVE: CVE-2019-11477、CVE-2019-11478、CVE-2019-11479

发布日期:2019-05-14

最后更新: 2019-05-20 T 17:00 PST

描述: Intel披露了以下CVE:

  • CVE-2018-12126
  • CVE-2018-12127
  • CVE-2018-12130
  • CVE-2019-11091

这些CVE统称为微架构数据采样(MDS)。这些漏洞可能允许利用推测执行与微架构状态交互来暴露数据。

Compute Engine影响 运行Compute Engine并隔离客户工作负载的主机基础架构受到保护,不受已知攻击。除非您在VM内运行不受信任的代码,否则无需进一步操作。

对于在Compute Engine虚拟机内运行不受信任代码的客户在其自己的多租户服务中,请参考您的客户OS供应商推荐的缓解措施,这可能包括使用Intel的微码缓解功能。我们已部署对新刷新功能的客户直通访问。以下是常见客户镜像可用缓解步骤的摘要。

修补镜像和供应商资源 我们将在此处提供每个操作系统供应商的补丁信息链接,包括每个CVE的状态。使用这些镜像重新创建VM实例。这些公共镜像的早期版本不包含这些补丁,也不缓解潜在攻击:

  • 项目centos-cloud:CESA-2019:1169、CESA-2019:1168

    • centos-6-v20190515
    • centos-7-v20190515

  • 项目coreos-cloud:CoreOS Container Linux的MDS缓解措施

    • coreos-stable-2079-4-0-v20190515
    • coreos-beta-2107-3-0-v20190515
    • coreos-alpha-2135-1-0-v20190515

  • 项目cos-cloud

    • cos-69-10895-242-0
    • cos-73-11647-182-0

  • 项目debian-cloud:DSA-4444

    • debian-9-stretch-v20190514

  • 项目rhel-cloud:Red Hat MDS知识文章

    • rhel-6-v20190515
    • rhel-7-v20190517
    • rhel-8-v20190515

  • 项目rhel-sap-cloud:Red Hat MDS知识文章

    • rhel-7-4-sap-v20190515
    • rhel-7-6-sap-v20190517

  • 项目suse-cloud:SUSE MDS KB

    • sles-12-sp4-v20190520
    • sles-15-v20190520

  • 项目suse-sap-cloud

    • sles-12-sp4-sap-v20190520
    • sles-15-sap-v20190520

  • 项目ubuntu-os-cloud:Ubuntu MDS Wiki

    • ubuntu-1404-trusty-v20190514
    • ubuntu-1604-xenial-v20190514
    • ubuntu-1804-bionic-v20190514
    • ubuntu-1810-cosmic-v20190514
    • ubuntu-1904-disco-v20190514
    • ubuntu-minimal-1604-xenial-v20190514
    • ubuntu-minimal-1804-bionic-v20190514
    • ubuntu-minimal-1810-cosmic-v20190514
    • ubuntu-minimal-1904-disco-v20190514

  • 项目windows-cloud、windows-sql-cloud:Microsoft ADV190013

    • 所有版本号为v20190514及更高版本的Windows Server和SQL Server公共镜像。

  • 项目gce-uefi-images

    • centos-7-v20190515
    • cos-69-10895-242-0
    • cos-73-11647-182-0
    • rhel-7-v20190517
    • ubuntu-1804-bionic-v20190514
    • 所有版本号为v20190514的Windows Server公共镜像。

Container-Optimized OS 如果您使用Container Optimized OS(COS)作为客户OS,并且在虚拟机中运行不受信任的多租户工作负载,我们建议您:

  1. 通过在内核命令行上设置nosmt来禁用超线程。
  2. 在现有COS VM上,您可以修改grub.cfg如下以设置nosmt选项,然后重新启动系统: 
    1
2
3
4
5
6
7

    # 以root身份运行:
dir="$(mktemp -d)"
mount /dev/sda12 "${dir}"
sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
umount "${dir}"
rmdir "${dir}"
reboot
  3. 为方便起见,您可以运行以下脚本以实现与运行上述命令相同的结果。我们建议将此脚本作为cloud-config、启动脚本或实例模板的一部分,以确保新VM使用此新参数。以下是运行此脚本的示例cloud-config: 
    1
2
3

    #cloud-config
bootcmd:
- /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
  4. 要确认实例上是否禁用了超线程,请查看/sys/devices/system/cpu/smt/active和/sys/devices/system/cpu/smt/control文件的输出。如果active返回0,control返回off,则超线程已禁用: 
    1
2

    cat /sys/devices/system/cpu/smt/active
cat /sys/devices/system/cpu/smt/control
  5. 使用新版本的COS镜像 除了如上所述禁用超线程外,您还应使用上面列出的更新镜像或更新版本(当可用时)的Container-Optimized OS镜像重新创建实例,以获得完全保护。

严重性:

相关CVE: CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次