Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 27 (12.02.18):
Red Hat stellt für Red Hat Enterprise Linux 5 Extended Lifecycle Support
für verschiedene Architekturen Sicherheitsupdates zur Mitigation der
Schwachstellen zur Verfügung.
Version 26 (31.01.18):
Für Oracle VM 3.3 stehen Sicherheitsupdates für den Unbreakable Enterprise
Kernel in der Version 3.8.13-118.20.2 bereit, um die Schwachstellen zu
adressieren. Die Sicherheitsupdates adressieren außerdem die Schwachstelle
CVE-2015-5157, welche einem lokalen, nicht authentisierten Angreifer
ermöglicht seine Privilegien zu eskalieren und damit das System zu
übernehmen oder einen Denial-of-Service (DoS)-Angriff durchzuführen.
Version 25 (30.01.18):
Für das ‘pxe-default-image’ (Preboot Execution Environment, PXE) in SUSE
Manager Server 3.0 steht ein Sicherheitsupdate bereit, mit dem nicht näher
definierte Mitigationen gegen Spectre und Meltdown umgesetzt werden.
Version 24 (30.01.18):
Canonical informiert darüber, dass als Teil der Mitigation ‘Retpoline’
gegen Spectre Variant 2 (CVE-2017-5715) ein Logic-Fehler in der
Implementierung des x86-64-Systemaufrufeintrages (Syscall Entry)
eingeführt wurde. Ein lokaler Angreifer kann dies ausnutzen, um einen
Denial-of-Service (DoS)-Zustand zu verursachen oder möglicherweise
beliebigen Programmcode zur Ausführung zu bringen. Es stehen
Sicherheitsupdates für Ubuntu 16.04 LTS für den Linux-Kernel for Microsoft
Azure Cloud Systems, Linux-Kernel for Google Cloud Platform (GCP) Systems,
Linux Hardware Enablement (HWE) Kernel und Linux-Kernel for OEM Processors
sowie für den Linux-Kernel in Ubuntu 17.10 zur Verfügung, um dieses
Problem zu beheben. Canonical weist darauf hin, dass aufgrund der
unvermeidbaren ABI-Änderungen diese Kernel Updates eine neue
Versionsnummer erhalten haben, weshalb alle Third Party Kernel-Module neu
kompiliert und installiert werden müssen, soweit dies nicht bei einem
Standard-System-Upgrade automatisch erfolgt.
Version 23 (30.01.18):
Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen
Sicherheitsupdates für den Unbreakable Enterprise Kernel in der Version
3.8.13-118.20.2 bereit, um die Schwachstellen zu adressieren. Die
Sicherheitsupdates adressieren außerdem die Schwachstelle CVE-2015-5157,
welche einem lokalen, nicht authentisierten Angreifer ermöglicht seine
Privilegien zu eskalieren und damit das System zu übernehmen oder einen
Denial-of-Service (DoS)-Angriff durchzuführen. Canonical stellt für Ubuntu
16.04 LTS ein Sicherheitsupdate für den Linux-Kernel for Cloud
Environments (linux-kvm) bereit, um die Spectre-Schwachstellen
(CVE-2017-5715, CVE-2017-5753) zu adressieren. Ferner weist Canonical
darauf hin, dass für eine vollständige Mitigation von CVE-2017-5715
(Spectre Variant 2) die korrespondierenden Prozessor Microcode / Firmware
Updates bzw. in virtuellen Umgebungen die Hypervisor Updates installiert
werden müssen. Weiterhin kündigt Canonical an, zukünftig für Benutzer
selbst-gehosteter virtueller Umgebungen die entsprechenden QEMU Updates in
Verbindung mit Upstream QEMU Versionen zur Verfügung zu stellen.
Version 22 (29.01.18):
F5 Networks hat seinen Sicherheitshinweis K91229003 ‘Side-channel
processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754’
aktualisiert und informiert über von den ‘Spectre’- und
‘Meltdown’-Schwachstellen betroffene Produkte. Unter anderem sind BIG-IP
Produkte Advanced Firewall Manager (AFM) und Application Security Manager
(ASM) in den Versionen 11.2.1, 11.5.1 – 11.5.5, 11.6.1 – 11.6.2, 12.1.0 –
12.1.3, 13.0.0 und 13.1.0 verwundbar. Es existieren derzeit keine Fixes.
Der Hersteller Intel hat eine Microcode Revision Guidance (PDF) mit
Empfehlungen für zahlreiche Prozessoren zur Verfügung gestellt.
Version 21 (29.01.18):
Microsoft hat aufgrund der bekannt gewordenen Probleme mit dem Intel
Microcode mittlerweile ein außerplanmäßiges Sicherheitsupdate bereit
gestellt, mit dem die Mitigationen gegen Spectre v2 (CVE-2017-5715) wieder
rückgängig gemacht werden (siehe ‘Microsoft Update to Disable Mitigation
against Spectre, Variant 2’). IBM hat Sicherheitsupdates für AIX 5.3
(64-bit Kernel), 6.1, 7.1 und 7.2 sowie VIOS 2.2.x bereitgestellt, um
Maßnahmen gegen CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754 umzusetzen.
Version 20 (26.01.18):
Red Hat stellt für die Red Hat Enterprise Linux 7 Produktvarianten Server,
Workstation, Desktop und Linux for Scientific Computing sowie für Compute
Node 7.4 Extended Update Support (EUS) und die Server 7.4 Produktversionen
Advanced Update Support (AUS), Extended Update Support (EUS), 4 Year
Extended Update Support und Telco Update Support (TUS) Sicherheitsupdates
für den ‘kernel’ bereit, durch die erste Mitigationen für IBM Power
(PowerPC) und IBM zSeries (S390) Architekturen für die Schwachstellen
CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754 zur Verfügung gestellt
werden. Die unten referenzierten Schwachstellen (CVE) werden dagegen in
der Beschreibung nicht erwähnt. Für Oracle Linux 7 (x86_64) stehen die
entsprechenden Sicherheitsupdates für den ‘kernel’ in Version
3.10.0-693.17.1 bereit, wobei Oracle die Referenzierung der Schwachstellen
anscheinend von Red Hat übernommen hat, jedoch im Versionslog ebenfalls
nur Mitigationen für die ‘Spectre’- und ‘Meltdown’-Schwachstellen
aufführt.
Version 19 (24.01.18):
Für Oracle Linux 5 (i386 und x86_64) und Oracle Linux 6 (i386 und x86_64)
stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in Version
2.6.39-400.298.2 bereit, um die aktuellen Entwicklungen der Schwachstellen
Spectre und Meltdown zu berücksichtigen. Zusätzlich wird mit dem Update
auch die Schwachstelle CVE-2015-5157 adressiert, welche es einem lokalen,
nicht authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren
und damit das System zu übernehmen oder einen Denial-of-Service
(DoS)-Angriff durchzuführen.
Version 18 (23.01.18):
Canonical stellt verschiedene Sicherheitsupdates bereit, um die aktuellen
Entwicklungen bei den Schwachstellen Spectre und Meltdown seit den ersten
Sicherheitsupdates für Meltdown in Ubuntu Linux vom 10.01.2018 (siehe
gesondertes Advisory) zu berücksichtigen. Für Ubuntu 17.10 (Kernel), 16.04
LTS und 14.04 LTS stehen Sicherheitsupdates für i386-Architekturen (nur
CVE-2017-5753) sowie amd64-, ppc64el- und s390x-Architekturen (beide
Spectre-Schwachstellen) zur Verfügung. Zusätzlich werden die ersten
Mitigationen gegen Meltdown auch für die ppc64el-Architektur verteilt. Die
unterschiedlichen Sicherheitsupdates stehen für Linux-Kernel (inklusive
Hardware Enablement Kernel), Amazon Web Services, Intel Euclid, Microsoft
Azure, Google Cloud Platform und OEM Prozessoren zur Verfügung. Zwei
weitere Sicherheitsupdates zur Mitigation der beiden Spectre-
Schwachstellen stehen für den Linux-Kernel in Ubuntu 14.04 LTS und 12.04
LTS auf i386-Architekturen (nur CVE-2017-5753) und amd64-Architekturen zur
Verfügung. Canonical weist darauf hin, dass die Mitigation der
Schwachstelle CVE-2017-5715 (Spectre 2) korrespondierende Microcode- oder
Firmware-Updates erfordert. Der Distributor arbeitet laut Eigenaussage
dahingehend mit Intel und AMD zusammen. Für davon nicht abgedeckte
Prozessoren wird auf die jeweiligen Hersteller verwiesen.
Version 17 (19.01.18):
Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen
Sicherheitsupdates für den Unbreakable Enterprise Kernel in Version
4.1.12-94.7.8 bereit.
Version 16 (19.01.18):
Microsoft hat seinen Sicherheitshinweis ADV180002 erneut aktualisiert, um
über die Verfügbarkeit des neuen Sicherheitsupdates 4073291 für die 32-bit
(x86) Version von Windows 10 Version 1709 zur Mitigation der Schwachstelle
CVE 2017-5754 (‘Meltdown’) zu informieren, welches zeitnah installiert
werden sollte. Microsoft arbeitet an Updates für weitere unterstützte
32-bit (x86) Windows Versionen. Mit Update 4073290 wurde ein Fix für
Geräte mit AMD-Prozessoren für Windows 10 Version 1709 bereitgestellt, um
das nach Installation des Updates vom 3. Januar 2018 – KB4056892 (OS Build
16299.192) für diese aufgetretene Problem eines nicht-bootfähigen
Zustandes zu beheben (siehe Referenz). Mit Update 4073578 wurde das
entsprechende Problem nach Installation des Updates vom 3. Januar 2018 –
KB4056897 (Security-only update) bzw. 4. Januar 2018 – KB4056894 (Monthly
Rollup) für Windows 7 SP1 und Windows Server 2008 R2 SP1 behoben (siehe
Referenz). Weiterhin informiert Microsoft darüber, dass am 5. Januar 2018
das Sicherheitsupdate KB4056898 (Security Only) für Windows 8.1 und
Windows Server 2012 R2 erneut veröffentlicht wurde, um ein Problem zu
beheben. Kunden, die das ursprüngliche Paket vom 3. Januar installiert
haben, sollten das Update erneut installieren. Das Xen Security Advisory
XSA-254 wurde ebenfalls aktualisiert (Version 10), um eine Aussage der
vorherigen Version zu berichtigen.
Version 15 (18.01.18):
Meinberg stellt in einem Sicherheitshinweis Informationen zu betroffenen
Produkten der eigenen Zeit- und Frequenzsynchronisationslösungen zur
Verfügung. Der Hersteller listet einzelne Produktserien auf und bewertet
die Verwundbarkeit anhand der jeweils eingesetzten Prozessoren. Produkte
der LANTIME M- und IMS-Serie verwenden AMD-CPUs, die nach Aussage von AMD
von CVE-2017-5753 (Spectre) betroffen sind. Die technische Analyse des
dort eingesetzten AMD Geode LX Prozessors durch einen Zulieferer
widerspricht allerdings dieser Aussage. Die Produkte TSU-GBit und HPS-100
verwenden Cortex A9 ARM-Cores, die theoretisch von den Schwachstellen
betroffen sind. Weiterhin setzen alle Produkte der SyncFire-Produktserie
eine oder mehrere Intel Xeon-CPUs ein und sind demnach betroffen. Intel
hat für diese Geräte ein Microcode-Update veröffentlicht, welches zusammen
mit den verfügbaren Linux-Kernel Sicherheitsupdates, die sich auf Meltdown
und Spectre beziehen, die in der nächsten Meinberg Firmware-Version
enthalten sein werden.
Version 14 (18.01.18):
Oracle stellt für Oracle VM 3.4 erneut Sicherheitsupdates für den
Unbreakable Enterprise Kernel zur Verfügung. Über das Paket
‘4.1.12-112.14.11.el6uek’ werden die Schwachstellen CVE-2017-5715 und
CVE-2017-5754 adressiert. Das Xen Security Advisory XSA-254 wurde
ebenfalls aktualisiert (Version 9), um über die Verfügbarkeit von ‘Stage
1’ Pagetable Isolation (PTI) Meltdown Fixes für Xen zu informieren. Ferner
werden ‘Comet’ Updates für den Shim Code (Branch 4.10) bereitgestellt.
Version 13 (17.01.18):
Microsoft hat seinen Sicherheitshinweis ADV180002 hinsichtlich der Tabelle
betroffener Produkte erneut aktualisiert. Es werden nun auch für die
unterstützten Editionen von Microsoft SQL Server 2012 Sicherheitsupdates
zur Verfügung gestellt. Das Xen Security Advisory XSA-254 wurde ebenfalls
aktualisiert (Version 8), um über die Verfügbarkeit von PVH Shim (‘Comet’)
für Xen 4.8 zu informieren. Dies beinhaltet Fehlerbehebungen für zwei
Probleme im Zusammenhang mit der Initialisierung von Shim sowie der
Unterstützung des PVH Modus für qemu PV Backends.
Version 12 (17.01.18):
Red Hat stellt jetzt ebenfalls ein Sicherheitsupdate für den Linux-Kernel
in Red Hat CloudForms 4.0 zur Verfügung. Für die SUSE Linux Enterprise
Produkte Software Development Kit 12 SP3, High Availability 12 SP3, Server
12 SP3 sowie 12 SP1 LTSS stehen Sicherheitsupdates für den Linux-Kernel
bereit, welche die Korrekturen für die Schwachstelle CVE-2017-5753
aktivieren, die bereits mittels früherer Updates verteilt wurden. Die
Sicherheitsupdates für die Schwachstelle CVE-2017-5715 wurden ebenfalls
bereits distribuiert, diese neuen Pakete enthalten allerdings eine
zusätzliche Fehlerbehebung im Kontext der Schwachstelle. Die
Sicherheitsupdates sind nur für die IBM Z Plattform verfügbar, welche von
der Schwachstelle ‘Meltdown’ CVE-2017-5754 nicht betroffen ist.
Version 11 (16.01.18):
Red Hat stellt Sicherheitsupdates für den Linux-Kernel in Red Hat
CloudForms 4.1, 4.2 und 4.5 bereit, um die drei Schwachstellen zu beheben.
IBM informiert im IBM PSIRT Blog darüber, dass diese Schwachstellen in
vielen Mikroprozessoren vorhanden sind, wie auch jenen, die in IBM Storage
Appliances und von der IBM Storage Spectrum Software auf Servern verwendet
werden. Allerdings gelten IBM Storage Appliances als nicht angreifbar, da
die Ausführung fremden Programmcodes auf derartigen geschlossenen Systemen
nicht erlaubt ist. Für IBM Storage Spectrum Software wird empfohlen, die
Firmware Updates von Server- und Betriebssystemsanbietern in Überstimmung
mit den normalen Prozeduren zu implementieren.
Version 10 (15.01.18):
Microsoft hat seinen Sicherheitshinweis ADV180002 hinsichtlich der Tabelle
betroffener Produkte aktualisiert. Es werden nun auch Microsoft SQL Server
2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2014 und
Microsoft SQL Server 2016 aufgeführt und Sicherheitsupdates für diese zur
Verfügung gestellt.
Version 9 (12.01.18):
Für die SUSE Linux Enterprise Produktvarianten Software Development Kit,
High Availability und Server in der Version 12 SP2 wurden
Sicherheitsupdates für den Linux-Kernel veröffentlicht, die allerdings nur
für IBM Z Plattformen zur Verfügung stehen. Die Korrekturen für IBM Z
waren bereits in dem vorhergehenden Update integriert, sie werden aber
jetzt erst aktiviert. Die Schwachstelle CVE-2017-5754 betrifft die IBM Z
Architektur nicht. Oracle stellt für Oracle VM 3.4 Sicherheitsupdates für
den Unbreakable Enterprise Kernel zur Verfügung. Über das Paket
‘4.1.12-112.14.5.el6uek’ werden die Schwachstellen CVE-2017-5715 und
CVE-2017-5753 und über das Paket ‘4.1.12-112.14.10.el6uek’ die
Schwachstellen CVE-2017-5715 und CVE-2017-5754 adressiert. Citrix
informiert mittels der Meldung Citrix Security Advisory CTX231399 über die
Betroffenheit der Citrix Produkte. Neben dem XenServer für den eine eigene
Meldung, Citrix Security Advisory CTX231390, erstellt wurde, kann eine
Verwundbarkeit von Citrix NetScaler SDX nicht ausgeschlossen werden. Die
XenServer Versionen 6.0.2, 6.2.0, 6.5, 7.0, 7.1 LTSR Cumulative Update 1,
7.2 und 7.3 sind von den Schwachstellen CVE-2017-5715 und CVE-2017-5754
betroffen. Für die Schwachstelle CVE-2017-5753 ist dem Hersteller kein Weg
der Ausnutzung im XenServer bekannt. Zur Behebung der Schwachstelle
CVE-2017-5715 stehen für die Versionen 7.1 LTSR Cumulative Update 1, 7.2
und 7.3 erste Hotfixes bereit, die zusätzliche eine Reihe von Denial-of-
Service-Schwachstellen adressieren. An weiteren Sicherheitsupdates wird,
auch zusammen mit Hardware Herstellern, gearbeitet. AMD aktualisiert die
Informationen zu der Betroffenheit der AMD Prozessoren, um darüber zu
informieren, dass Microsoft einen großen Teil der zuvor zurückgehaltenen
Sicherheitsupdates für AMD Prozessoren jetzt verteilt. An Problemen die
ältere Prozessoren betreffen (AMD Opteron, Athlon und AMD Turion X2 Ultra
Familie) wird gearbeitet und AMD geht davon aus, dass die Verteilung der
Microsoft Updates nächste Woche (KW 3) erfolgen kann. Intel veröffentlicht
einen Blog-Artikel ‘Intel Security Issue Update: Addressing Reboot Issues’
und berichtet über einige Kundenmeldungen nach denen gepatchte Systeme
häufiger Neustarts (Reboots) durchführen. Intel analysiert das Problem
aktuell und kündigt an, überarbeitete Patches zur Verfügung zu stellen,
sollten die Analysen die Notwendigkeit dafür aufzeigen. Dieses Problem
scheint insbesondere Intel Broadwell und Haswell CPUs zu betreffen.
Version 8 (11.01.18):
Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 17.04 und
Ubuntu 16.04 LTS Sicherheitsupdates für ‘webkit2gtk’ auf das WebKitGTK+
Release 2.18.5 zur Behebung der Schwachstellen CVE-2017-5715 und
CVE-2017-5753 (Spectre) bereit. Nach Installation der Sicherheitsupdates
müssen alle Anwendungen, welche WebKitGTK+ verwenden, wie etwa Epiphany,
neu gestartet werden.
Version 7 (11.01.18):
Mit WebKitGTK+ Security Advisory WSA-2018-0001 wird über das WebKitGTK+
Release 2.18.5 zur Behebung der Schwachstellen CVE-2017-5715 und
CVE-2017-5753 (Spectre) informiert. Für Fedora 26 und 27 stehen
Sicherheitsupdates auf diese Version in Form der Pakete
‘webkitgtk4-2.18.5-1.fc26’ und ‘webkitgtk4-2.18.5-1.fc27’ im Status
‘pending’ bereit. Für Fedora 26 und 27 stehen darüber hinaus
Sicherheitsupdates für den Linux-Kernel auf Version 4.14.13 im Status
‘pending’ zur Verfügung. Hiermit werden einige Mitigationen für Spectre
(beide Varianten) eingeführt. Die Installation dieser Sicherheitsupdates
erfordert den anschließenden Neustart betroffener Systeme.
Version 6 (10.01.18):
NVIDIA veröffentlicht neue Hinweise und weitere Sicherheitsupdates zu den
Schwachstellen über die NVIDIA Driver Download-Webseite. Für Windows
stehen jetzt die Treiberversionen 390.65 (GeForce, Quadro, NVS) und 386.07
(Quadro, NVS, Tesla) zur Verfügung. Für Linux, FreeBSD und Solaris stehen
die Versionen 390.12 und 384.111 für GeForce, Quadro, NVS und Tesla (nur
384.111) bereit. Für den Versionszweig R390 für Tesla wird ein
Sicherheitsupdate in KW 4 für Windows und Linux angekündigt. Darüber
hinaus stehen über das NVIDIA Licensing Center Informationen zu Updates
für NVIDIA GRID Produkte zur Verfügung. Die NVIDIA GRID betreffenden
Updates für Windows, Windows Server mit Hyper-V, Linux, Citrix XenServer,
VMware vSphere und Red Hat KVM werden vor Ende Januar erwartet. Canonical
stellt für Ubuntu 17.10, Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04
LTS ein Sicherheitsupdate für ‘nvidia-graphics-drivers-384’ auf Version
384.111 zur Verfügung, mit dem laut zugehörigem Sicherheitshinweis
zunächst eine der ‘Spectre’-Schwachstellen (CVE-2017-5753) adressiert
wird. Oracle veröffentlicht die Oracle VM Security Advisories
OVMSA-2018-0005 und OVMSA-2018-0006, um über die Bereitstellung von
verschiedenen Xen-Sicherheitsupdates für Oracle VM 3.4 zu informieren. Das
erstgenannte Update referenziert zusätzlich auch die Schwachstellen
CVE-2017-15592, CVE-2017-15595, CVE-2017-17044 und CVE-2017-17045, die
Denial-of-Service-Angriffe und eine Privilegieneskalation ermöglichen und
bereits im Dezember (OVMSA-2017-0176) behoben wurden.
Version 5 (09.01.18):
Red Hat veröffentlicht für Red Hat Virtualization 3.X und 4 für Red Hat
Enterprise Linux 7 Sicherheitsupdates in Form aktualisierter ‘redhat-
virtualization-host’-Pakete. Für Red Hat Virtualization 3.x auf RHEL 6 und
7 steht außerdem das Paket ‘rhev-hypervisor7’ und für Red Hat
Virtualization 4 auf RHEL 7 das Paket ‘rhvm-appliance’ als
Sicherheitsupdate bereit.
Version 4 (08.01.18):
Microsoft aktualisiert seinen Sicherheitshinweis und weist darauf hin,
dass Sicherheitsupdates für Microsoft Server 2008 und 2012 bis auf
weiteres nicht zur Verfügung stehen werden, da hier tiefe Eingriffe in die
Architektur notwendig sind. Weiterhin erklärt der Hersteller, dass die im
Sicherheitshinweis genannten 32-Bit-Pakete nur die
‘Spectre’-Schwachstellen adressieren. Sophos informiert darüber, dass die
eigenen Endpoint-Produkte mit dem aktuellen Update von Microsoft
kompatibel sind und die für dieses notwendigen Einträge in die Windows-
Registry zeitnah durch Updates für Sophos Endpoint/Server vorgenommen
werden. Für Netzwerkkunden kündigt Sophos an, dass die Untersuchungen zu
den jeweiligen Kernel-Updates für das unterliegende Linux und andere
Betriebssysteme noch andauern. Dies betrifft unter anderem Sophos UTM und
Sophos Firewall OS. Juniper informiert über den aktuellen Stand der
Untersuchungen zu den eigenen Produkten. Unter anderem werden Junos OS,
Junos Space und Qfabric Director noch untersucht. Der Hersteller geht
aktuell davon aus, dass Junos OS nur durch lokale Angreifer mit
Administratorrechten angreifbar ist. Die Produkte ScreenOS und JUNOSe sind
den Angaben von Juniper zufolge nicht verwundbar gegenüber den
Schwachstellen. Im Xen Security Advisory 254 gibt das Xen.org Security
Team neue Informationen zu den Schwachstellen bekannt und präzisiert die
möglichen Auswirkungen der Schwachstellen. Insbesondere weisen die Autoren
darauf hin, dass die Möglichkeit zu Angriffen von Gastbenutzer auf den
Gastkernel unabhängig von den in Xen umgesetzten Mitigationen besteht und
nur durch Aktualisierung des eingesetzten Betriebssystems adressiert
werden können. Darüber hinaus hat der Chiphersteller ARM Informationen zu
betroffenen Prozessoren veröffentlicht, die neben Xen auch den Einsatz von
Google Android betreffen. Google stellt auf seinen Supportseiten weitere
Hinweise zu eigenen Produkten zur Verfügung.
Version 3 (05.01.18):
Canonical informiert darüber, dass die Patches für Ubuntu Linux spätestens
zum ursprünglich geplanten Release am 09.01.2018 zur Verfügung stehen
werden. Aufgrund der Komplexität der Patches wird ein Live-Update
ausgeschlossen, betroffene Systeme müssen nach Installation neu gestartet
werden. Apple weist darauf hin, dass die Produkte iOS 11.2 und macOS
10.13.2 bereits gegen die Schwachstelle ‘Meltdown’ gehärtet wurden. Die
‘Spectre’-Schwachstellen werden in künftigen Updates adressiert. Auch
NVIDIA hat mit den Untersuchungen der eigenen Produkte begonnen und
bereits erste Updates für Quadro, NVS (Windows, Linux, FreeBSD, Solaris)
und GeForce (Linux, FreeBSD, Solaris) veröffentlicht.
Version 2 (05.01.18):
Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates bereit, mit denen
die Schwachstellen adressiert werden. Weitere Sicherheitsupdates stehen in
der für die Red Hat Enterprise Linux Server Advanced Update Support (AUS)
Versionen AUS 6.2, AUS 6.4 und AUS 6.5 sowie für Red Hat Enterprise MRG 2
zur Verfügung. Debian veröffentlicht ein Sicherheitsupdate für Debian
Stretch (stable) zur Behebung der Schwachstelle ‘Meltdown’
(CVE-2017-5754), mit dem zusätzlich eine alte Regression behoben wird. Die
beiden ‘Spectre’-Schwachstellen werden in einem gesonderten Update
adressiert. Für die vormalige stabile Distribution Jessie wird ebenfalls
ein eigenes Sicherheitsupdate angekündigt. Die Hersteller Fortinet, F5
Networks und IBM informieren darüber, dass die Untersuchungen der jeweils
eigenen Produkte in Bezug auf die Schwachstellen begonnen haben. Die
Informationen zu Produkten des Herstellers Cisco Systems verarbeiten wir
in einem gesonderten Sicherheitshinweis, auch hier haben die
Untersuchungen der eigenen Produktpalette begonnen.
Version 1 (04.01.18):
Neues Advisory

Die Implementierung für die leistungssteigernde Technik ‘speculative
Execution of Instructions’ für verschiedene Mikroprozessordesigns ist
fehlerhaft. Daraus resultieren mehrere Schwachstellen, die abhängig vom
eingesetzten Prozessortyp von einem Angreifer ausgenutzt werden können: Die
Schwachstelle CVE-2017-5715 (Spectre) betrifft Intel und AMD
Mikroprozessoren und ermöglicht vermutlich einem Angreifer im benachbarten
Netzwerk, Kernel-Programmcode an einer von ihm selbst kontrollierten
Speicheradresse zur Ausführung zu bringen und dadurch privilegierten
Speicher zu lesen. Die Schwachstelle CVE-2017-5753 (Spectre) betrifft Intel
und AMD Mikroprozessoren und ermöglicht vermutlich einem Angreifer im
benachbarten Netzwerk die Ausführung spekulativer Instruktionen des
Betriebssystems oder Hypervisors hinter Speicher- und Sicherheitsgrenzen und
darüber den Zugriff auf privilegierten Speicher. Die Schwachstelle
CVE-2017-5754 (Meltdown) betrifft nach derzeitigem Kenntnisstand nur Intel
Mikroprozessoren und ermöglicht einem lokalen, nicht authentisierten
Angreifer das Auslesen von Kernelspeicher vom Userspace aus und dadurch die
Ausführung beliebigen Programmcodes mit den höchsten Privilegien.

Über die genauen Auswirkungen der Schwachstellen wird noch im Einzelfall
diskutiert, da diese auf unterschiedlichen Plattformen verschieden sein
können. Die Bewertung der Schwachstellen basiert an dieser Stelle daher auf
der Arbeit der Schwachstellenentdecker selbst (Project Zero) und den bisher
bekannten Einschätzungen der betroffenen Softwarehersteller. Sicher ist,
dass die zur Behebung der Schwachstellen notwendigen Patches
Performanceeinbußen für die betroffenen Systeme mit sich bringen werden, da
die Sicherheitsupdates primär auf einer Deaktivierung der
leistungssteigernden Technik beruhen, und dass die Behebung der
Schwachstellen sowohl Software- als auch Firmware-seitige Updates erfordert.

Im von Intel veröffentlichten Sicherheitshinweis verweist der
Prozessorhersteller für Firmwareupdates auf die Hersteller und Distributoren
der Systeme, die die hauseigenen Prozessoren einsetzen. Gleiches gilt auch
für Systeme mit Mikroprozessoren anderer Chiphersteller, von denen bisher
mit Ausnahme von AMD noch keine Stellungnahmen vorliegen. AMD weist darauf
hin, dass die Schwachstelle CVE-2017-5754 (Meltdown) AMD-Prozessoren nicht
betrifft, da diese eine andere Architektur verwenden. Für die Ausnutzung der
Schwachstelle CVE-2017-5715 (Spectre) besteht auf AMD-Systemen aus demselben
Grund nur ein geringes Risiko. Die Schwachstelle CVE-2017-5753 (Spectre)
wird laut Aussage von AMD Software-seitig von Betriebssystemherstellern
behoben. Da so gut wie alle aktuellen Betriebssysteme von den Schwachstellen
betroffen sind, sollten die Hinweise der jeweiligen Softwarehersteller in
den kommenden Tagen genau beachtet werden.

Der Xen Hypervisor ist laut Aussage des Herstellers von allen Schwachstellen
betroffen. Als mögliche Auswirkung wird das Ausspähen aller Informationen
aus dem Speicher eines geteilten Hosts genannt. Die Informationen können
durch Ausführung spekulativer Instruktionen erhalten werden, die vom
Angreifer kontrollierbar sind. Die Schwachstelle CVE-2017-5754 kann hier
umgangen werden, indem Gastsysteme im HVM- oder PVH-Modus betrieben werden.
Es stehen noch keine Sicherheitsupdates für Xen zur Verfügung.

Microsoft empfiehlt allen Nutzern, alle verfügbaren Betriebssystemupdates –
insbesondere die bisherigen Windows Sicherheitsupdates vom Januar 2018 – zu
installieren. Für Microsoft Surface Produkte kündigt der Hersteller ein
Firmware Update an. Um die Schließung der Sicherheitslücken zu verifizieren
stellt Microsoft ein PowerShell Script zur Verfügung und weist darauf hin,
dass einige Antivirusprogramme nicht mit den Sicherheitsupdates kompatibel
sind. Microsoft weist darauf hin, dass die aktuellen Updates auch
Mitigationen für Internet Explorer und Edge im Kontext der Schwachstellen
beinhalten. Die Auswirkungen auf diese Produkte sind bisher unklar. Im
aktuellen Sicherheitsupdate für die Microsoft Browser werden vor allem
Speicherkorruptionsschwachstellen in der Scripting Engine behandelt.

Für verschiedene Versionen von Microsoft Windows Server stehen ebenfalls
Sicherheitsupdates zur Verfügung. Microsoft weist darauf hin, dass ein
erhöhtes Risiko besteht, wenn die Server als Hyper-V Hosts oder Remote
Desktop Services Hosts (RDSH) betrieben werden und wenn nicht
vertrauenswürdiger Programmcode, beispielsweise über Container, auf den
Geräten verwendet werden kann. Hier werden zusätzlich Registry-Einträge
angegeben, um die Mitigationen auf dem Server zu aktivieren und es steht
ebenfalls ein PowerShell Skript zur Prüfung zur Verfügung. Weiterhin stehen
Sicherheitsupdates für verschiedene Versionen von Microsoft SQL Server und
verschiedene Hinweise zu unterschiedlichen Einsatzszenarien zur Verfügung.

In Linux-Systemen werden aktuell Patches unter der Abkürzung KPTI (Kernel
Page Table Isolation) veröffentlicht, die Kernel- und Userland-Speicher
besser trennen sollen. Einige Softwarehersteller stellen gesonderte
Firmware-Sicherheitsupdates zur Verfügung, die nur CVE-2017-5715 (Spectre)
adressieren. Dazu existiert ein gesonderter Sicherheitshinweis.

Für das gesamte Red Hat Portfolio stehen bereits Sicherheitsupdates für den
Linux-Kernel oder den Echtzeitkernel zur Verfügung. Hier werden die
Schwachstellen für die aktuellen Red Hat Enterprise Linux 6 und 7 Editionen
sowie die Editionen mit erweitertem Support (Advanced Update Support,
Extended Update Support, Telco Update Support) behoben.

Für Fedora 26 und 27 stehen Kernel-Sicherheitsupdates im Status ‘stable’
(Fedora 27) beziehungsweise ‘pending’ (Fedora 26) bereit. In den
Sicherheitsupdates wird die Schwachstelle ‘Meltdown’ erwähnt, möglicherweise
wird hier also nur CVE-2017-5754 adressiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0020]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html