DFN-CERT-2018-0966 Intel, AMD und ARM Mikroprozessoren: Eine Schwachstelle ermöglicht das Ausspähen von sensiblen Informationen

DFN-CERT-2018-0966 Intel, AMD und ARM Mikroprozessoren: Eine Schwachstelle ermöglicht das Ausspähen von sensiblen Informationen

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (22.05.18):
Neues Advisory

Eine Schwachstelle in der Implementierung der spekulativen
Instruktionsausführung existiert in diversen Mikroprozessoren unter anderem
von den Herstellern Intel, AMD und ARM.

Ein lokaler, einfach authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um privilegierten Kernelspeicher oder Speicher von Anwendungen
außerhalb von Sandboxes (z.B. Webbrowser, JVM, JIT) auszuspähen. Die
Schwachstelle lässt sich anscheinend jedoch nicht ausnutzen, um von einer
virtuellen Gastumgebung aus Speicherbereiche der Host-Umgebung auszuspähen,
da der Hypervisor entsprechend dafür notwendigen Programmcode nicht enthält.

Bislang gelingt die Ausnutzung der Schwachstelle offenbar nur unter
Laborbedingungen, weshalb vermutlich keine akute Gefahr davon ausgeht. Für
eine vollständige Behebung der Schwachstelle sind sowohl ein Firmware-Update
als auch Software-Updates notwendig. Ersteres sollte vom jeweiligen
Hersteller bezogen werden. Die Erfahrung mit den bereits zuvor bekannt
gewordenen CPU-Seitenkanal-Schwachstellen ‘Spectre’ und ‘Meltdown’ hat
gezeigt, dass Sicherheitsupdates gegen diese Form von Angriffen sehr komplex
sind und dementsprechend oft mehrfach revidiert und / oder optimiert werden
müssen. Zudem gehen auch mit diesen Sicherheitsupdates Performance-Einbußen
einher, abhängig von der spezifischen Verwendung eines Systems.

Für die Red Hat Produkte Virtualization 3.X und 4.X, Virtualization Manager
4.2, Enterprise Linux 6.X und 7.X, OpenStack 7.0, 8.0, 9.0, 10.0 und 12.0
sowie Red Hat Enterprise MRG 2 stehen abhängig vom Produkt
Sicherheitsupdates für die Pakete ‘kernel’, ‘kernel-rt’, ‘qemu-kvm’, ‘qemu-
kvm-rhev’, ‘libvirt’, ‘rhvm-setup-plugins’, ‘vdsm’, ‘org.ovirt.engine-root’,
‘openstack-containers’ sowie ‘java-1.8.0-openjdk’ und ‘java-1.7.0-openjdk’
zur Behebung der Schwachstelle bereit.

Für Oracle Linux 6 und 7 stehen Sicherheitsupdates für die Pakete ‘kernel’,
‘qemu-kvm’, ‘libvirt’ sowie ‘java-1.8.0-openjdk’ und ‘java-1.7.0-openjdk’
zur Verfügung.

Canonical stellt für Ubuntu 18.04 LTS ein Sicherheitsupdate zur Behebung der
Schwachstelle für den Kernel, für Amazon Web Services (AWS), Microsoft Azure
Cloud, Google Cloud Platform (GCP), Cloud-Umgebungen und OEM-Prozessoren zur
Verfügung. Weitere Sicherheitsupdates für Ubuntu-Pakete werden in separaten
Advisories behandelt. Eine Übersicht über den Status der Schwachstelle für
die verschiedenen Distributionen und Produkten von Canonical befindet sich
in den Referenzen.

Für die SUSE Produkte OpenStack Cloud 7, SUSE Linux Enterprise Server for
SAP 12 SP2, Server SP2 LTSS und SUSE Enterprise Storage 4 sowie für Ubuntu
18.04 LTS, 17.10, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für
‘qemu’ bereit.

Für den Xen Hypervisor 4.6.x bis 4.10.x stehen Sicherheitsupdates zur
Verfügung, welche das MD-Feature im Kontext des Hypervisors komplett
deaktivieren und somit diese Schwachstelle beheben. Allerdings ist es
unwahrscheinlich, dass Xen betroffen ist, weshalb die Updates und die damit
einhergehenden Performance-Einbußen unter Umständen nicht notwendig sind.
Genauere Informationen zu Intel- und AMD-spezifischen Instruktionen befinden
sich im Hersteller Advisory XSA-263 (siehe Referenzen).

VMware veröffentlicht einen Sicherheitshinweis für VMware vCenter Server
(VC), VMware vSphere ESXi (ESXi), VMware Workstation Pro / Player
(Workstation) und VMware Fusion Pro / Fusion (Fusion). Der Hersteller
informiert darüber, dass alle Produkte in aktuellen Versionen von der
Schwachstelle CVE-2018-3639 betroffen sind und stellt eine detaillierte
Analyse zur Verfügung (VMware Knowledge Base Article 54954, Referenz anbei).
Die Versionen VMware Workstation Pro, Player 14.1.2 und VMware Fusion Pro /
Fusion 10.1.2 stehen bereits als Sicherheitsupdates zur Verfügung. Zur
vollständigen Mitigation der Schwachstelle sind hier allerdings weitere
Schritte erforderlich, über die der Hersteller in einem weiteren gesonderten
Hinweis informiert (VMware Knowledge Base Article 55111, Referenz anbei).
Die Sicherheitsupdates für VMware vCenter Server (VC) und VMware vSphere
ESXi (ESXi) werden erst veröffentlicht, wenn der von Intel zur Verfügung
gestellte Microcode hinreichend getestet wurde. Nach erfolgreichem Update
können (ebenfalls gepatchte) Gast-Betriebssysteme auf das Speculative-Store-
Bypass-Disable (SSBD) Kontroll-Bit zugreifen, um die Schwachstelle zu
umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0966]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben