【漏洞通告】GhostRace CPU信息泄露漏洞(CVE-2024-2193)

04114

一、漏洞概述

漏洞名称

  GhostRace  CPU信息泄露漏洞

CVE   ID

CVE-2024-2193

漏洞类型

推测竞争条件

发现时间

2024-03-18

漏洞评分

暂无

漏洞等级

中危

攻击向量

本地

所需权限

利用难度

用户交互

PoC/EXP

已公开

在野利用

未知
2024年3月18日,启明星辰VSRC监测到研究人员发现了一种新的数据泄露攻击,称为GhostRace (CVE-2024-2193 ),该漏洞会影响支持推测执行的现代 CPU 架构,如Intel、AMD、ARM 和 IBM 处理器,目前该漏洞的PoC已公开。
该漏洞为Spectre v1 (CVE-2017-5753) 瞬时执行CPU漏洞的变体,结合了推测执行和竞争条件。威胁者可利用该漏洞,利用竞争条件访问推测的可执行代码路径,从而泄露CPU中的任意数据。

二、影响范围

Intel、AMD、ARM、IBM等主要硬件供应商的处理器以及Linux 内核,受 Spectre-v1 影响的微架构
软件,例如操作系统、虚拟机管理程序等,通过条件分支实现同步原语,而在该路径上没有任何序列化指令,并且在任何微体系结构(例如,x86、ARM、RISC-V 等)上运行,允许推测执行条件分支,容易受到该漏洞影响

三、安全措施

3.1 升级版本


目前部分供应商已发布了该漏洞的缓解措施,受影响用户可关注并应用供应商提供的补丁或缓解措施。
链接:
https://www.vusec.net/projects/ghostrace/

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。

3.4 参考链接

https://github.com/vusec/ghostrace
https://ibm.github.io/system-security-research-updates/2024/03/12/ghostrace
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7016.html


文章版权声明 1、本网站名称:Happy峰安全运营之路
2、本站永久网址:https://blog.chenjiangfeng.com
3、本站发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
4、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
5、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
6、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
7、根据《计算机软件保护条例》第十七条,本站所有软件请仅用于学习研究用途

© 版权声明
本站所有内容(包括但不限于文字、图片、视频等)均受到版权法保护,归作者所有,未经授权不得转载、复制或用于其他任何商业目的。 转载请注明出处,并保留原文链接。对于未经授权的使用,我们将保留追究法律责任的权利。
THE END
漏洞通告
喜欢就支持一下吧
点赞14打赏 分享
Happy峰的头像-Happy峰
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)-Happy峰
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)
1个月前 67
NTP服务部署-Happy峰
NTP服务部署
NTP服务部署
5年前 64
使用PXE+Kickstart无人值守安装服务。-Happy峰
使用PXE+Kickstart无人值守安装服务。
使用PXE+Kickstart无人值守安装服务。
5年前 60
Windows之启动项-Happy峰
Windows之启动项
Windows之启动项
2年前 60
ISO27001信息安全管理体系建设-Happy峰
ISO27001信息安全管理体系建设
ISO27001信息安全管理体系建设
2年前 60
AWVS部署-Happy峰
AWVS部署
AWVS部署
2年前 57
相关推荐
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)-Happy峰
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)
1个月前 67
漏洞预警 | 74cmsSE任意文件上传漏洞-Happy峰
漏洞预警 | 74cmsSE任意文件上传漏洞
漏洞预警 | 74cmsSE任意文件上传漏洞
1个月前 47
【漏洞通告】Linux kernel权限提升漏洞(CVE-2024-1086)-Happy峰
【漏洞通告】Linux kernel权限提升漏洞(CVE-2024-1086)
【漏洞通告】Linux kernel权限提升漏洞(CVE-2024-1086)
1个月前 47
【漏洞通告】Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)-Happy峰
【漏洞通告】Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)
【漏洞通告】Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)
1个月前 43
【漏洞通告】Parse Server SQL注入漏洞(CVE-2024-27298)-Happy峰
【漏洞通告】Parse Server SQL注入漏洞(CVE-2024-27298)
【漏洞通告】Parse Server SQL注入漏洞(CVE-2024-27298)
1个月前 41
【漏洞通告】GhostRace CPU信息泄露漏洞(CVE-2024-2193)-Happy峰
【漏洞通告】GhostRace CPU信息泄露漏洞(CVE-2024-2193)
【漏洞通告】GhostRace CPU信息泄露漏洞(CVE-2024-2193)
1个月前 41
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
图片

    暂无评论内容