UPDATE: DFN-CERT-2018-0104 Oracle Virtualization: Mehrere Schwachstellen ermöglichen die Übernahme von Systemkomponenten [Linux][SuSE][Unix][Apple][Solaris][Windows]

UPDATE: DFN-CERT-2018-0104 Oracle Virtualization: Mehrere Schwachstellen ermöglichen die Übernahme von Systemkomponenten [Linux][SuSE][Unix][Apple][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.01.2018):
Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates für ‘virtualbox’
auf Version 5.1.32 zur Verfügung. Mit diesem Sicherheitsupdate werden auch
Mitigationen gegen die unter dem Namen Spectre (Variante 2) bekannte
Schwachstelle CVE-2017-5715 umgesetzt.
Version 1 (17.01.2018):
Neues Advisory

Betroffene Software:

Secure Global Desktop 5.3
Oracle VM VirtualBox < 5.1.32 Oracle VM VirtualBox < 5.2.6 Betroffene Plattformen: Apple macOS GNU/Linux Microsoft Windows openSUSE Leap 42.2 openSUSE Leap 42.3 Oracle Solaris Eine Schwachstelle in Oracle Secure Global Desktop ermöglicht einem entfernten, nicht authentisierten Angreifer die Übernahme der Komponente, eine weitere Schwachstelle ermöglicht einem solchen Angreifer das Ausspähen von Informationen. Mehrere Schwachstellen in Oracle VM VirtualBox ermöglichen einem lokalen, authentisierten und nicht authentisierten Angreifer die Übernahme der Kontrolle über das System. Zwei weitere Schwachstellen ermöglichen auch einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen. Zur Behebung der Schwachstellen stellt Oracle die Oracle VM VirtualBox 5.1.32 und 5.2.6 zur Verfügung sowie ein Sicherheitsupdate für Oracle Secure Global Desktop (SDG) in der Version 5.3. Das Update für die OpenSSL-Schwachstelle CVE-2017-3736 adressiert auch die Schwachstelle CVE-2017-3735. Patch: Oracle Critical Patch Update Advisory Januar 2018 - CPUJan2018 (Oracle Virtualization) http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixOVIR

Patch:

openSUSE Security Update openSUSE-SU-2018:0187-1

http://lists.opensuse.org/opensuse-updates/2018-01/msg00074.html

CVE-2018-2694 CVE-2018-2698: Schwachstellen in Oracle VM VirtualBox
ermöglichen Übernahme der Komponente

Die Subkomponente ‘Core’ der Komponente Oracle VM VirtualBox der Oracle
Virtualisation enthält zwei leicht auszunutzende Schwachstellen. Ein
lokaler, authentisierter und niedrig privilegierter Angreifer, der sich auf
der Infrastruktur einloggen kann, auf der VM VirtualBox ausgeführt wird,
kann diese Schwachstellen ausnutzen, um die Kontrolle über die VM VirtualBox
zu übernehmen. Ein erfolgreicher Angriff erfordert die Interaktion einer
anderen Person als der des Angreifers. Obwohl es sich um Schwachstellen in
VM VirtualBox handelt, kann ein erheblicher Einfluss auf weitere Produkte
bestehen.

CVE-2018-2693: Schwachstelle in Oracle VM VirtualBox ermöglicht Übernahme
der Komponente

Die Subkomponente ‘Guest Additions’ der Komponente Oracle VM VirtualBox der
Oracle Virtualisation enthält eine leicht auszunutzende Schwachstelle. Ein
lokaler, authentisierter und niedrig privilegierter Angreifer, der sich auf
der Infrastruktur einloggen kann, auf der VM VirtualBox ausgeführt wird,
kann diese Schwachstelle ausnutzen, um die Kontrolle über die VM VirtualBox
zu übernehmen. Ein erfolgreicher Angriff erfordert die Interaktion einer
anderen Person als der des Angreifers. Obwohl es sich um eine Schwachstelle
in VM VirtualBox handelt, kann ein erheblicher Einfluss auf weitere Produkte
bestehen.

CVE-2018-2685 CVE-2018-2686 CVE-2018-2687 CVE-2018-2688 CVE-2018-2689
CVE-2018-2690: Schwachstellen in Oracle VM VirtualBox ermöglichen Übernahme
der Komponente

Die Subkomponente ‘Core’ der Komponente Oracle VM VirtualBox der Oracle
Virtualisation enthält mehrere leicht auszunutzende Schwachstellen. Ein
lokaler, nicht authentisierter Angreifer, der sich auf der Infrastruktur
einloggen kann, auf der VM VirtualBox ausgeführt wird, kann diese
Schwachstellen ausnutzen, um die Kontrolle über die VM VirtualBox zu
übernehmen. Ein erfolgreicher Angriff erfordert die Interaktion einer
anderen Person als der des Angreifers. Obwohl es sich um Schwachstellen in
VM VirtualBox handelt, kann ein erheblicher Einfluss auf weitere Produkte
bestehen.

CVE-2018-2676: Schwachstelle in Oracle VM VirtualBox ermöglicht Übernahme
der Komponente

Die Subkomponente ‘Core’ der Komponente Oracle VM VirtualBox der Oracle
Virtualisation enthält eine leicht auszunutzende Schwachstelle. Ein lokaler,
authentisierter und hoch privilegierter Angreifer, der sich auf der
Infrastruktur einloggen kann, auf der VM VirtualBox ausgeführt wird, kann
diese Schwachstelle ausnutzen, um die Kontrolle über Oracle VM VirtualBox zu
übernehmen. Obwohl es sich um eine Schwachstelle in VM VirtualBox handelt,
kann ein erheblicher Einfluss auf weitere Produkte bestehen.

CVE-2017-5715: Schwachstelle in Implementierung der spekulativen
Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von
Informationen

Die Implementierung für die leistungssteigernde Technik ‘speculative
Execution of Instructions’ für verschiedene Mikroprozessordesigns ist
fehlerhaft. Bei der ‘speculative Execution of Instructions’ werden Annahmen
über das Ergebnis einer anderen Operation getroffen und zur Ausführung der
Instruktion verwendet. Treffen die Annahmen zu, ist das Ergebnis eine
Beschleunigung der Verarbeitung. Treffen die Annahmen nicht zu, muss die
Instruktion zurückgesetzt werden. Der Fehler in der Implementierung besteht
darin, dass Seiteneffekte der Ausführung der Instruktion bestehen bleiben.
U.a. werden Änderungen am TLB (Translation Lookaside Buffer) nicht
zurückgesetzt.
Diese Schwachstelle deckt den Fall der ‘Branch Target Injection’ ab und wird
im Kontext der Veröffentlichung ‘Spectre’ genannt. Die Schwachstelle tritt
auf, wenn durch den betroffenen Programmcode ein indirekter Zweig (Branch)
vorliegt, dessen Zieladresse aus dem Speicher geladen wird. Durch Spülen
(flushing) der Cache-Zeile mit der entsprechenden Adresse aus dem Speicher
fehlt der CPU bei Erreichen des Zweigs das Sprungziel, so dass bis zur
notwendigen erneuten Berechnung der Adresse spekulativ Anweisungen
ausgeführt werden. Die dabei erfolgenden Speicherzugriffe allozieren auch
dann Speicher im Level 1 Data Cache des Mikroprozessors, wenn die
spekulativen Instruktionen später verworfen werden. Ein vermutlich nicht
authentisierter Angreifer im benachbarten Netzwerk kann diese Schwachstelle
ausnutzen, um Kernel-Programmcode an einer von ihm selbst kontrollierten
Speicheradresse zur Ausführung zu bringen und privilegierten Speicher unter
Umgehung der Syscall-Grenzen zu lesen. Die ausgespähten Informationen können
für weitere Angriffe verwendet werden.

CVE-2017-3736: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen

In der ‘Montgomery Squaring’ Prozedur auf x86_64-Architekturen existiert
eine Schwachstelle aufgrund einer fehlerhaften Berechnung in der Funktion
‘bn_sqrx8x_internal’. Elliptic Curve Algorithmen sind davon nicht betroffen
und auch Angriffe gegen RSA und DSA werden als sehr schwierig und deshalb
als wenig wahrscheinlich angesehen. Dagegen erscheinen Angriffe gegen Diffie
Hellman (DH) möglich, wenn persistente DH-Parameter verwendet und private
Schlüssel von vielen Clients geteilt werden. Ein entfernter, nicht
authentisierter Angreifer, der Online-Zugriff auf ein angreifbares System
hat, kann diese Schwachstelle ausnutzen, um private Schlüssel zu ermitteln
und damit sensible Informationen auszuspähen. Von der Schwachstelle
betroffen sind nur Prozessoren, die BMI1-, BMI2- und ADX-Erweiterungen
unterstützen, wie Intel Broadwell (5th Generation) und spätere oder AMD
Ryzen. Diese Schwachstelle ist der in OpenSSL 1.0.2e behobenen CVE-2015-3193
sowie der in OpenSSL 1.0.2k behobenen CVE-2017-3732 sehr ähnlich, muss aber
gesondert behandelt werden.

Im Kontext von Oracle MySQL betrifft diese Schwachstelle die Komponente
Connector/ODBC (OpenSSL) des Produktes MySQL Connectors, die Komponente
Monitoring: General (OpenSSL) des Produktes MySQL Enterprise Monitor sowie
die Komponente Core (OpenSSL) des Produktes VM VirtualBox.

CVE-2017-3735: Schwachstelle in OpenSSL ermöglicht Darstellen falscher
Informationen

Bei der Verarbeitung einer IPAdressFamily-Extension eines X.509-Zertifikats
kann es zum Zugriff auf ein Byte außerhalb des zugewiesenen Speicherbereichs
kommen. Ein entfernter, nicht authentisierter Angreifer kann eine
Schwachstelle in OpenSSL ausnutzen, um falsche Informationen in der
Textansicht eines X.509-Zertifikats darzustellen. Da die Herkunft der
Informationen in einem nicht dafür vorgesehenen Speicherbereich liegt,
lassen sich dadurch möglicherweise auch Informationen ausspähen.

CVE-2017-5645: Schwachstelle in Apache Log4j ermöglicht Ausführung
beliebigen Programmcodes

In Apache Log4j existiert eine Schwachstelle, die, wenn der TCP- oder der
UDP-Socketserver zum Empfang serialisierter Log-Daten verwendet werden, bei
der Deserialisierung speziell präparierter Binärdaten die Ausführung
beliebigen Programmcodes ermöglicht. Ein entfernter, nicht authentisierter
Angreifer kann beliebigen Programmcode zur Ausführung bringen.

Im Kontext der Komponente Core (Apache Log4j) im Produkt Oracle Secure
Global Desktop (SGD), Sample Apps (Apache Log4j) im Produkt Oracle WebLogic
Server sowie Supply Chain Portal Pack (Apache Log4j) im Produkt Oracle
PeopleSoft Enterprise FIN Supply Chain Portal Pack Argentina und Brazil kann
ein entfernter, nicht authentisierter Angreifer mit HTTP-Zugriff zur ‘Apache
Log4j’-Komponente die komplette Komponente übernehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0104/

Schwachstelle CVE-2017-5645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5645

Schwachstelle CVE-2017-3735 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3735

Schwachstelle CVE-2017-3736 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3736

Schwachstelle CVE-2017-5715 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5715

Oracle Critical Patch Update Advisory Januar 2018 – CPUJan2018 (Oracle
Virtualization):
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixOVIR

Oracle CPUJan2018 Risk Matrix – Oracle Virtualization:
http://www.oracle.com/technetwork/security-advisory/cpujan2018verbose-3236630.html#OVIR

Schwachstelle CVE-2018-2676 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2676

Schwachstelle CVE-2018-2685 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2685

Schwachstelle CVE-2018-2686 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2686

Schwachstelle CVE-2018-2687 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2687

Schwachstelle CVE-2018-2688 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2688

Schwachstelle CVE-2018-2689 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2689

Schwachstelle CVE-2018-2690 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2690

Schwachstelle CVE-2018-2693 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2693

Schwachstelle CVE-2018-2694 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2694

Schwachstelle CVE-2018-2698 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-2698

openSUSE Security Update openSUSE-SU-2018:0187-1:
http://lists.opensuse.org/opensuse-updates/2018-01/msg00074.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben