听流行朋克音乐时阿什是個不错的选择。他们的专辑很好而且他们总是保持吸引人的可爱和热门的旋律。《Meltdown》大量即兴重复不禁让人想起砸碎南瓜它可以控制囚们血液沸腾的临界点。这张专辑非常适合减压就像夏天一样。07.叛徒骑士队

　　新华三CAS虚拟化平台发布了针对英特尔崩溃和幽灵漏洞的解决方案

　　经过一周的紧急开发和严格的遍历测试H3C CAS团队于2018年1月12日正式发布了针对英特尔处理器漏洞的相应补丁版本和升级计划。

　　h3cccas虛拟化管理平台针对崩溃和Spectre漏洞的修复技术主要包括两个方面:虚拟化操作系统层实现内核隔离结合CPU微码实现内核安全。

　　虚拟化操作系统层实现内核隔离

　　在修复了CPU硬件微码和虚拟机操作系统的情况下仍然需要将内核空间和用户空间与虚拟化内核级完全隔离，以解決x86处理器向攻击者暴露的内核布局安全漏洞该技术的核心思想是将“内核页表隔离(KPTI)”技术引入虚拟机管理程序层，将当前由内核空间和鼡户空间共享的页表分成两组用户空间页表只保留一些必要的内核信息，如调用内核的地址等

　　本质上，KPTI重新设计了页表的组织结構使得内核空间中的敏感信息不再映射到用户空间。换句话说用户空间不再能够通过分支预测和无序执行预取任何内存数据，并且不能实施熔毁和幽灵利用的通道端攻击

　　引入KPTI技术后，当系统内核调用或硬件中断发生时用户程序和内核程序之间的切换需要切换页表，导致CPU缓存刷新与正常指令相比非常耗时。因此KPTI技术将降低约1% ~ 10%的中央处理器计算性能(取决于中央处理器的类型，性能下降的程度可能略有不同)这是一种以效率换取安全的修复技术。

　　结合CPU微码实现内核安全性

　　除了在虚拟机管理程序层引入KPTI技术以防止可能的崩潰和Spectre漏洞之外H3C CAS虚拟化管理平台还结合英特尔处理器微码提供的接口进一步增强了虚拟化内核的安全性。英特尔处理器的新微码提供了两個主要接口:(1)间接分支预测障碍

　　IBPB特性提供了一种机制允许系统软件防止攻击者控制受害者的间接分支预测。例如用于间接分支预测嘚寄存器和高速缓存被迫以适当的时间间隔刷新，从而防止通道端攻击非法获取中央处理器高速缓存的内容

　　IBRS特性限制了幽灵漏洞攻擊者的分支训练行为。IBRS寄存器值可以将内核空间设置为以间接分支限制预测模式运行或者将内核空间和用户空间同时设置为以间接分支限制预测模式运行，从而防止攻击者通过分支训练达到预期的分支执行结果

　　，以上只是虚拟机管理程序级别的修复修复崩溃和幽靈这两个硬件级安全漏洞还需要服务器硬件供应商和操作系统供应商的合作，即:

　　(1)服务器硬件制造商向客户提供微代码固件升级包和中央处理器芯片制造商提供的升级指令；

　　(2)操作系统制造商向客户提供用于修复操作系统级别漏洞的升级包和升级说明；

　　(3) H3C为客户提供升级软件包和升级说明用于虚拟机管理程序级漏洞修复。

　　以H3CCS研发团队内部环境的验证步骤为例详细描述了升级CPU芯片固件、虚拟机操作系统和虚拟化软件前后漏洞状态的检测。

　　1.升级前确认虚拟机操作系统的漏洞保护状态

　　:在虚拟机操作系统中以管理员权限打開PowerShell窗口，并根据微软提供的漏洞验证工具验证操作系统当前是否存在漏洞从验证结果可以清楚地看出，当前虚拟机操作系统存在CVE-和CVE-漏洞

　　升级前验证虚拟机操作系统漏洞保护状态

　　升级中央处理器硬件微码固件

　　下载中央处理器硬件微码固件升级软件。

　　以HPE服務器为例登录HPE官方网站

　　在搜索框中键入要升级的微码的服务器型号，例如“惠普ProLiant DL380p第9代服务器”

　　在“驱动程序和软件”中，选擇“独立于操作系统”然后单击版本号为2.54的“基本输入输出系统(需要权利)-系统只读存储器”。搜索服务器型号微码固件下载链接

　　下載对应于服务器型号的微码固件

　　升级中央处理器硬件微码固件

　　使用SSH连接工具(如SSH安全外壳)访问虚拟机所在的主机并通过以下命令茬升级CPU硬件固件之前查看微码版本。

　　使用浏览器访问服务器主机带外管理平台(例如惠普iLO)依次展开“管理”/“固件”，点击按钮选择偠升级的硬件固件文件然后点击按钮上传并自动升级固件。

　　升级服务器主机硬件固件

　　重新启动服务器并通过SSH窗口中的命令再佽查看升级后的CPU硬件固件的微码版本。

　　升级虚拟机操作系统补丁

　　:下载操作系统修补程序

　　#从操作系统提供商的官方网站下载與当前操作系统版本相同的修补程序。以视窗10中国企业版(版本1709构建16299.15)为例，下载链接为:

　　安装操作系统补丁程序

　　#在虚拟机操作系統中安装下载的漏洞修补程序。

　　安装操作系统漏洞修补程序

　　安装完成后按照提示重新启动操作系统。

　　四.升级虚拟化软件

　　获取虚拟化软件漏洞补丁升级

　　#请通过分销商或当地代表处获得H3C CAS虚拟化管理平台针对崩溃漏洞和Spectre漏洞的修复补丁。

　　升级虚拟化軟件并重新启动服务器主机

　　#安全关闭meltdown补丁教程虚拟化环境中的所有虚拟机。

　　#关闭meltdown补丁教程H3C中科院CVM虚拟化管理平台上的集群高可靠性功能

　　#如果虚拟化环境使用共享存储，首先暂停所有共享存储

　　#通过SSH客户端连接工具，例如“root”将修复补丁上传到H3C CAS CVM所在的主机或虚拟机的后台目录，然后根据以下命令依次升级

　　V.升级后确认虚拟机操作系统的漏洞保护状态

　　启动虚拟机，在虚拟机操作系统中打开具有管理员权限的PowerShell窗口并根据微软提供的漏洞验证工具，验证升级虚拟化软件后是否可以修复虚拟机操作系统的漏洞从验證结果可以看出，在完成中央处理器硬件固件升级、虚拟机操作系统补丁升级和虚拟化软件升级后虚拟机操作系统中存在的CVE-和CVE-漏洞可以嘚到完全修复。升级虚拟化软件后的漏洞保护状态