正如本周早些时候所作出的承诺,Red Hat面向RHEL以及CentOS等衍生系统发布了软件更新,减缓和降低最近披露的Spectre Variant 4安全漏洞所带来的负面影响。2018年5月21日,来自谷歌的Project Zero团队和微软安全相应中心联合公布了Spectre(幽灵)漏洞的Variants 3a和4变种。而后者Spectre Variant 4已经被编号为CVE- 2018-3639,几乎所有Linux系统(包括Red Hat旗下产品以及CentOS等衍生产品)都会受到影响。
虽然在现实生活中通过该变种漏洞进行攻击非常复杂,但是Spectre Variant 4能够让非特权攻击者获得读取内存的权限,并可通过具有针对性的Cache Side-channel攻击方式来获取敏感信息。
Red Hat今天已经为x86_64 (64-bit)架构的Red Hat Enterprise Linux 7系统发布了内核更新,以缓解这个问题,并表示目前无法通过软件更新的方式来完全修复。
Red Hat的安全公告中表示:“这是个硬件问题,无法通过软件更新的方式来完全修复。已经发布的更新包已经从软件层面最大限度的降低了这个硬件问题。需要完整修复,需要在系统中部署最新的CPU微代码。”