Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 9 (11.10.19):
Für Red Hat Virtualization 4 für Red Hat Enterprise Linux 7 steht ein
Sicherheitsupdate für ‘redhat-virtualization-host’ bereit, um die
Schwachstelle zu beheben.
Version 8 (13.09.19):
Für Oracle Linux 5 und 6 stehen jetzt korrespondierend zur Meldung
ELSA-2019-4777 Ksplice-Updates für den Unbreakable Enterprise Kernel
(UEKR2) 2.6.39 und für Oracle Linux 6 und 7 korrespondierend zu der
Meldung ELSA-2019-4775 Ksplice-Updates für den UEKR3 3.8.13 zur Behebung
der Schwachstelle zur Verfügung.
Version 7 (11.09.19):
Für Red Hat Enterprise Linux 6.5 Advanced Update Support (AUS) steht ein
Sicherheitsupdate bereit.
Version 6 (06.09.19):
Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für den
Unbreakable Enterprise Kernel in Version 2.6.39-400.314 zur Verfügung.
Version 5 (06.09.19):
Für Oracle Linux 6 und 7 (x86_64) stehen Sicherheitsupdates für den
Unbreakable Enterprise Kernel in Version 3.8.13-118.38 zur Verfügung.
Version 4 (14.08.19):
Canonical stellt für die Distributionen Ubuntu 19.04, Ubuntu 18.04 LTS und
Ubuntu 16.04 LTS Sicherheitsupdates für den Linux-Kernel für Amazon Web
Services (AWS) und Amazon Web Services (AWS-HWE) Systeme zur Verfügung.
Version 3 (09.08.19):
Für Oracle Linux 6 und 7 stehen jetzt korrespondierend zur Meldung
ELSA-2019-4735 Ksplice-Updates für den Unbreakable Enterprise Kernel
(UEKR4) 4.1.12 und für Oracle Linux 7 korrespondierend zu der Meldung
ELSA-2019-4733 Ksplice-Updates für den UEKR5 4.14.35 zur Behebung der
Schwachstellen bereit.
Version 2 (09.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete
‘kernel-5.2.7-100.fc29’, ‘kernel-headers-5.2.7-100.fc29’, ‘kernel-
tools-5.2.7-100.fc29’, ‘kernel-5.2.7-200.fc30’, ‘kernel-
headers-5.2.7-200.fc30’ und ‘kernel-tools-5.2.7-200.fc30’ im Status
‘testing’ bereit. Für OpenBSD 6.4 und 6.5 stehen Quellcodepatches als
Sicherheitsupdates zur Verfügung.
Version 1 (08.08.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der
Instruktion ‘SWAPGS’ für x86-Mikroprozessoren im 64-Bit-Modus ausnutzen, um
Informationen aus dem Kernelspeicher auszuspähen.

Details zur Schwachstelle wurden kürzlich auf der Sicherheitskonferenz
‘BlackHat’ veröffentlicht. Hierbei standen Windows-basierte Systeme auf
Intel-Prozessoren im Fokus.

Microsoft hat mittlerweile bekannt gegeben, dass die Schwachstelle mit dem
letzten Patchtag im Juli bereits behoben wurde. Intel und Microsoft haben
sich darauf geeinigt, dass die Schwachstelle softwareseitig behoben werden
sollte. Details und Verweise auf manuell herunter ladbare Sicherheitsupdates
sind auf der Microsoft-Seite zu der Schwachstelle CVE-2019-1125 zu finden.

Von Seiten anderer Hardwarehersteller hat AMD auf die Veröffentlichung der
Schwachstelle reagiert und gibt an, dass in Prozessoren eigener Herstellung
die Instruktion ‘SWAPGS’ nicht spekulativ verwendet wird. Andere Hersteller
(Apple, ARM) sind vermutlich nicht betroffen, da die Technik dort nicht
eingesetzt wird.

Die Schwachstelle wurde im Linux-Kernel mit dem Commit
18ec54fdd6d18d92025af097cd042a75cf0ea24c behoben.

Dieser Patch wurde vom Android Open Source Project mit dem Commit 1097435
übernommen, wodurch das Sicherheitsupdate auch für Android verfügbar wird.

In ChromeOS wurde dieser Patch mit dem Commit 1739575 ebenfalls eingepflegt
und die Schwachstelle damit geschlossen.

Oracle stellt Sicherheitsupdates für den Unbreakable Enterprise Kernel
(UEK4) für Oracle Linux 6 und 7 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1609]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 8 (13.09.19):
Für Oracle Linux 5 und 6 stehen jetzt korrespondierend zur Meldung
ELSA-2019-4777 Ksplice-Updates für den Unbreakable Enterprise Kernel
(UEKR2) 2.6.39 und für Oracle Linux 6 und 7 korrespondierend zu der
Meldung ELSA-2019-4775 Ksplice-Updates für den UEKR3 3.8.13 zur Behebung
der Schwachstelle zur Verfügung.
Version 7 (11.09.19):
Für Red Hat Enterprise Linux 6.5 Advanced Update Support (AUS) steht ein
Sicherheitsupdate bereit.
Version 6 (06.09.19):
Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für den
Unbreakable Enterprise Kernel in Version 2.6.39-400.314 zur Verfügung.
Version 5 (06.09.19):
Für Oracle Linux 6 und 7 (x86_64) stehen Sicherheitsupdates für den
Unbreakable Enterprise Kernel in Version 3.8.13-118.38 zur Verfügung.
Version 4 (14.08.19):
Canonical stellt für die Distributionen Ubuntu 19.04, Ubuntu 18.04 LTS und
Ubuntu 16.04 LTS Sicherheitsupdates für den Linux-Kernel für Amazon Web
Services (AWS) und Amazon Web Services (AWS-HWE) Systeme zur Verfügung.
Version 3 (09.08.19):
Für Oracle Linux 6 und 7 stehen jetzt korrespondierend zur Meldung
ELSA-2019-4735 Ksplice-Updates für den Unbreakable Enterprise Kernel
(UEKR4) 4.1.12 und für Oracle Linux 7 korrespondierend zu der Meldung
ELSA-2019-4733 Ksplice-Updates für den UEKR5 4.14.35 zur Behebung der
Schwachstellen bereit.
Version 2 (09.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete
‘kernel-5.2.7-100.fc29’, ‘kernel-headers-5.2.7-100.fc29’, ‘kernel-
tools-5.2.7-100.fc29’, ‘kernel-5.2.7-200.fc30’, ‘kernel-
headers-5.2.7-200.fc30’ und ‘kernel-tools-5.2.7-200.fc30’ im Status
‘testing’ bereit. Für OpenBSD 6.4 und 6.5 stehen Quellcodepatches als
Sicherheitsupdates zur Verfügung.
Version 1 (08.08.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der
Instruktion ‘SWAPGS’ für x86-Mikroprozessoren im 64-Bit-Modus ausnutzen, um
Informationen aus dem Kernelspeicher auszuspähen.

Details zur Schwachstelle wurden kürzlich auf der Sicherheitskonferenz
‘BlackHat’ veröffentlicht. Hierbei standen Windows-basierte Systeme auf
Intel-Prozessoren im Fokus.

Microsoft hat mittlerweile bekannt gegeben, dass die Schwachstelle mit dem
letzten Patchtag im Juli bereits behoben wurde. Intel und Microsoft haben
sich darauf geeinigt, dass die Schwachstelle softwareseitig behoben werden
sollte. Details und Verweise auf manuell herunter ladbare Sicherheitsupdates
sind auf der Microsoft-Seite zu der Schwachstelle CVE-2019-1125 zu finden.

Von Seiten anderer Hardwarehersteller hat AMD auf die Veröffentlichung der
Schwachstelle reagiert und gibt an, dass in Prozessoren eigener Herstellung
die Instruktion ‘SWAPGS’ nicht spekulativ verwendet wird. Andere Hersteller
(Apple, ARM) sind vermutlich nicht betroffen, da die Technik dort nicht
eingesetzt wird.

Die Schwachstelle wurde im Linux-Kernel mit dem Commit
18ec54fdd6d18d92025af097cd042a75cf0ea24c behoben.

Dieser Patch wurde vom Android Open Source Project mit dem Commit 1097435
übernommen, wodurch das Sicherheitsupdate auch für Android verfügbar wird.

In ChromeOS wurde dieser Patch mit dem Commit 1739575 ebenfalls eingepflegt
und die Schwachstelle damit geschlossen.

Oracle stellt Sicherheitsupdates für den Unbreakable Enterprise Kernel
(UEK4) für Oracle Linux 6 und 7 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1609]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 7 (11.09.19):
Für Red Hat Enterprise Linux 6.5 Advanced Update Support (AUS) steht ein
Sicherheitsupdate bereit.
Version 6 (06.09.19):
Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für den
Unbreakable Enterprise Kernel in Version 2.6.39-400.314 zur Verfügung.
Version 5 (06.09.19):
Für Oracle Linux 6 und 7 (x86_64) stehen Sicherheitsupdates für den
Unbreakable Enterprise Kernel in Version 3.8.13-118.38 zur Verfügung.
Version 4 (14.08.19):
Canonical stellt für die Distributionen Ubuntu 19.04, Ubuntu 18.04 LTS und
Ubuntu 16.04 LTS Sicherheitsupdates für den Linux-Kernel für Amazon Web
Services (AWS) und Amazon Web Services (AWS-HWE) Systeme zur Verfügung.
Version 3 (09.08.19):
Für Oracle Linux 6 und 7 stehen jetzt korrespondierend zur Meldung
ELSA-2019-4735 Ksplice-Updates für den Unbreakable Enterprise Kernel
(UEKR4) 4.1.12 und für Oracle Linux 7 korrespondierend zu der Meldung
ELSA-2019-4733 Ksplice-Updates für den UEKR5 4.14.35 zur Behebung der
Schwachstellen bereit.
Version 2 (09.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete
‘kernel-5.2.7-100.fc29’, ‘kernel-headers-5.2.7-100.fc29’, ‘kernel-
tools-5.2.7-100.fc29’, ‘kernel-5.2.7-200.fc30’, ‘kernel-
headers-5.2.7-200.fc30’ und ‘kernel-tools-5.2.7-200.fc30’ im Status
‘testing’ bereit. Für OpenBSD 6.4 und 6.5 stehen Quellcodepatches als
Sicherheitsupdates zur Verfügung.
Version 1 (08.08.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der
Instruktion ‘SWAPGS’ für x86-Mikroprozessoren im 64-Bit-Modus ausnutzen, um
Informationen aus dem Kernelspeicher auszuspähen.

Details zur Schwachstelle wurden kürzlich auf der Sicherheitskonferenz
‘BlackHat’ veröffentlicht. Hierbei standen Windows-basierte Systeme auf
Intel-Prozessoren im Fokus.

Microsoft hat mittlerweile bekannt gegeben, dass die Schwachstelle mit dem
letzten Patchtag im Juli bereits behoben wurde. Intel und Microsoft haben
sich darauf geeinigt, dass die Schwachstelle softwareseitig behoben werden
sollte. Details und Verweise auf manuell herunter ladbare Sicherheitsupdates
sind auf der Microsoft-Seite zu der Schwachstelle CVE-2019-1125 zu finden.

Von Seiten anderer Hardwarehersteller hat AMD auf die Veröffentlichung der
Schwachstelle reagiert und gibt an, dass in Prozessoren eigener Herstellung
die Instruktion ‘SWAPGS’ nicht spekulativ verwendet wird. Andere Hersteller
(Apple, ARM) sind vermutlich nicht betroffen, da die Technik dort nicht
eingesetzt wird.

Die Schwachstelle wurde im Linux-Kernel mit dem Commit
18ec54fdd6d18d92025af097cd042a75cf0ea24c behoben.

Dieser Patch wurde vom Android Open Source Project mit dem Commit 1097435
übernommen, wodurch das Sicherheitsupdate auch für Android verfügbar wird.

In ChromeOS wurde dieser Patch mit dem Commit 1739575 ebenfalls eingepflegt
und die Schwachstelle damit geschlossen.

Oracle stellt Sicherheitsupdates für den Unbreakable Enterprise Kernel
(UEK4) für Oracle Linux 6 und 7 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1609]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 6 (06.09.19):
Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für den
Unbreakable Enterprise Kernel in Version 2.6.39-400.314 zur Verfügung.
Version 5 (06.09.19):
Für Oracle Linux 6 und 7 (x86_64) stehen Sicherheitsupdates für den
Unbreakable Enterprise Kernel in Version 3.8.13-118.38 zur Verfügung.
Version 4 (14.08.19):
Canonical stellt für die Distributionen Ubuntu 19.04, Ubuntu 18.04 LTS und
Ubuntu 16.04 LTS Sicherheitsupdates für den Linux-Kernel für Amazon Web
Services (AWS) und Amazon Web Services (AWS-HWE) Systeme zur Verfügung.
Version 3 (09.08.19):
Für Oracle Linux 6 und 7 stehen jetzt korrespondierend zur Meldung
ELSA-2019-4735 Ksplice-Updates für den Unbreakable Enterprise Kernel
(UEKR4) 4.1.12 und für Oracle Linux 7 korrespondierend zu der Meldung
ELSA-2019-4733 Ksplice-Updates für den UEKR5 4.14.35 zur Behebung der
Schwachstellen bereit.
Version 2 (09.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete
‘kernel-5.2.7-100.fc29’, ‘kernel-headers-5.2.7-100.fc29’, ‘kernel-
tools-5.2.7-100.fc29’, ‘kernel-5.2.7-200.fc30’, ‘kernel-
headers-5.2.7-200.fc30’ und ‘kernel-tools-5.2.7-200.fc30’ im Status
‘testing’ bereit. Für OpenBSD 6.4 und 6.5 stehen Quellcodepatches als
Sicherheitsupdates zur Verfügung.
Version 1 (08.08.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der
Instruktion ‘SWAPGS’ für x86-Mikroprozessoren im 64-Bit-Modus ausnutzen, um
Informationen aus dem Kernelspeicher auszuspähen.

Details zur Schwachstelle wurden kürzlich auf der Sicherheitskonferenz
‘BlackHat’ veröffentlicht. Hierbei standen Windows-basierte Systeme auf
Intel-Prozessoren im Fokus.

Microsoft hat mittlerweile bekannt gegeben, dass die Schwachstelle mit dem
letzten Patchtag im Juli bereits behoben wurde. Intel und Microsoft haben
sich darauf geeinigt, dass die Schwachstelle softwareseitig behoben werden
sollte. Details und Verweise auf manuell herunter ladbare Sicherheitsupdates
sind auf der Microsoft-Seite zu der Schwachstelle CVE-2019-1125 zu finden.

Von Seiten anderer Hardwarehersteller hat AMD auf die Veröffentlichung der
Schwachstelle reagiert und gibt an, dass in Prozessoren eigener Herstellung
die Instruktion ‘SWAPGS’ nicht spekulativ verwendet wird. Andere Hersteller
(Apple, ARM) sind vermutlich nicht betroffen, da die Technik dort nicht
eingesetzt wird.

Die Schwachstelle wurde im Linux-Kernel mit dem Commit
18ec54fdd6d18d92025af097cd042a75cf0ea24c behoben.

Dieser Patch wurde vom Android Open Source Project mit dem Commit 1097435
übernommen, wodurch das Sicherheitsupdate auch für Android verfügbar wird.

In ChromeOS wurde dieser Patch mit dem Commit 1739575 ebenfalls eingepflegt
und die Schwachstelle damit geschlossen.

Oracle stellt Sicherheitsupdates für den Unbreakable Enterprise Kernel
(UEK4) für Oracle Linux 6 und 7 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1609]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 5 (06.09.19):
Für Oracle Linux 6 und 7 (x86_64) stehen Sicherheitsupdates für den
Unbreakable Enterprise Kernel in Version 3.8.13-118.38 zur Verfügung.
Version 4 (14.08.19):
Canonical stellt für die Distributionen Ubuntu 19.04, Ubuntu 18.04 LTS und
Ubuntu 16.04 LTS Sicherheitsupdates für den Linux-Kernel für Amazon Web
Services (AWS) und Amazon Web Services (AWS-HWE) Systeme zur Verfügung.
Version 3 (09.08.19):
Für Oracle Linux 6 und 7 stehen jetzt korrespondierend zur Meldung
ELSA-2019-4735 Ksplice-Updates für den Unbreakable Enterprise Kernel
(UEKR4) 4.1.12 und für Oracle Linux 7 korrespondierend zu der Meldung
ELSA-2019-4733 Ksplice-Updates für den UEKR5 4.14.35 zur Behebung der
Schwachstellen bereit.
Version 2 (09.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete
‘kernel-5.2.7-100.fc29’, ‘kernel-headers-5.2.7-100.fc29’, ‘kernel-
tools-5.2.7-100.fc29’, ‘kernel-5.2.7-200.fc30’, ‘kernel-
headers-5.2.7-200.fc30’ und ‘kernel-tools-5.2.7-200.fc30’ im Status
‘testing’ bereit. Für OpenBSD 6.4 und 6.5 stehen Quellcodepatches als
Sicherheitsupdates zur Verfügung.
Version 1 (08.08.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der
Instruktion ‘SWAPGS’ für x86-Mikroprozessoren im 64-Bit-Modus ausnutzen, um
Informationen aus dem Kernelspeicher auszuspähen.

Details zur Schwachstelle wurden kürzlich auf der Sicherheitskonferenz
‘BlackHat’ veröffentlicht. Hierbei standen Windows-basierte Systeme auf
Intel-Prozessoren im Fokus.

Microsoft hat mittlerweile bekannt gegeben, dass die Schwachstelle mit dem
letzten Patchtag im Juli bereits behoben wurde. Intel und Microsoft haben
sich darauf geeinigt, dass die Schwachstelle softwareseitig behoben werden
sollte. Details und Verweise auf manuell herunter ladbare Sicherheitsupdates
sind auf der Microsoft-Seite zu der Schwachstelle CVE-2019-1125 zu finden.

Von Seiten anderer Hardwarehersteller hat AMD auf die Veröffentlichung der
Schwachstelle reagiert und gibt an, dass in Prozessoren eigener Herstellung
die Instruktion ‘SWAPGS’ nicht spekulativ verwendet wird. Andere Hersteller
(Apple, ARM) sind vermutlich nicht betroffen, da die Technik dort nicht
eingesetzt wird.

Die Schwachstelle wurde im Linux-Kernel mit dem Commit
18ec54fdd6d18d92025af097cd042a75cf0ea24c behoben.

Dieser Patch wurde vom Android Open Source Project mit dem Commit 1097435
übernommen, wodurch das Sicherheitsupdate auch für Android verfügbar wird.

In ChromeOS wurde dieser Patch mit dem Commit 1739575 ebenfalls eingepflegt
und die Schwachstelle damit geschlossen.

Oracle stellt Sicherheitsupdates für den Unbreakable Enterprise Kernel
(UEK4) für Oracle Linux 6 und 7 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1609]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (14.08.19):
Canonical stellt für die Distributionen Ubuntu 19.04, Ubuntu 18.04 LTS und
Ubuntu 16.04 LTS Sicherheitsupdates für den Linux-Kernel für Amazon Web
Services (AWS) und Amazon Web Services (AWS-HWE) Systeme zur Verfügung.
Version 3 (09.08.19):
Für Oracle Linux 6 und 7 stehen jetzt korrespondierend zur Meldung
ELSA-2019-4735 Ksplice-Updates für den Unbreakable Enterprise Kernel
(UEKR4) 4.1.12 und für Oracle Linux 7 korrespondierend zu der Meldung
ELSA-2019-4733 Ksplice-Updates für den UEKR5 4.14.35 zur Behebung der
Schwachstellen bereit.
Version 2 (09.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete
‘kernel-5.2.7-100.fc29’, ‘kernel-headers-5.2.7-100.fc29’, ‘kernel-
tools-5.2.7-100.fc29’, ‘kernel-5.2.7-200.fc30’, ‘kernel-
headers-5.2.7-200.fc30’ und ‘kernel-tools-5.2.7-200.fc30’ im Status
‘testing’ bereit. Für OpenBSD 6.4 und 6.5 stehen Quellcodepatches als
Sicherheitsupdates zur Verfügung.
Version 1 (08.08.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der
Instruktion ‘SWAPGS’ für x86-Mikroprozessoren im 64-Bit-Modus ausnutzen, um
Informationen aus dem Kernelspeicher auszuspähen.

Details zur Schwachstelle wurden kürzlich auf der Sicherheitskonferenz
‘BlackHat’ veröffentlicht. Hierbei standen Windows-basierte Systeme auf
Intel-Prozessoren im Fokus.

Microsoft hat mittlerweile bekannt gegeben, dass die Schwachstelle mit dem
letzten Patchtag im Juli bereits behoben wurde. Intel und Microsoft haben
sich darauf geeinigt, dass die Schwachstelle softwareseitig behoben werden
sollte. Details und Verweise auf manuell herunter ladbare Sicherheitsupdates
sind auf der Microsoft-Seite zu der Schwachstelle CVE-2019-1125 zu finden.

Von Seiten anderer Hardwarehersteller hat AMD auf die Veröffentlichung der
Schwachstelle reagiert und gibt an, dass in Prozessoren eigener Herstellung
die Instruktion ‘SWAPGS’ nicht spekulativ verwendet wird. Andere Hersteller
(Apple, ARM) sind vermutlich nicht betroffen, da die Technik dort nicht
eingesetzt wird.

Die Schwachstelle wurde im Linux-Kernel mit dem Commit
18ec54fdd6d18d92025af097cd042a75cf0ea24c behoben.

Dieser Patch wurde vom Android Open Source Project mit dem Commit 1097435
übernommen, wodurch das Sicherheitsupdate auch für Android verfügbar wird.

In ChromeOS wurde dieser Patch mit dem Commit 1739575 ebenfalls eingepflegt
und die Schwachstelle damit geschlossen.

Oracle stellt Sicherheitsupdates für den Unbreakable Enterprise Kernel
(UEK4) für Oracle Linux 6 und 7 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1609]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (09.08.19):
Für Oracle Linux 6 und 7 stehen jetzt korrespondierend zur Meldung
ELSA-2019-4735 Ksplice-Updates für den Unbreakable Enterprise Kernel
(UEKR4) 4.1.12 und für Oracle Linux 7 korrespondierend zu der Meldung
ELSA-2019-4733 Ksplice-Updates für den UEKR5 4.14.35 zur Behebung der
Schwachstellen bereit.
Version 2 (09.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete
‘kernel-5.2.7-100.fc29’, ‘kernel-headers-5.2.7-100.fc29’, ‘kernel-
tools-5.2.7-100.fc29’, ‘kernel-5.2.7-200.fc30’, ‘kernel-
headers-5.2.7-200.fc30’ und ‘kernel-tools-5.2.7-200.fc30’ im Status
‘testing’ bereit. Für OpenBSD 6.4 und 6.5 stehen Quellcodepatches als
Sicherheitsupdates zur Verfügung.
Version 1 (08.08.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der
Instruktion ‘SWAPGS’ für x86-Mikroprozessoren im 64-Bit-Modus ausnutzen, um
Informationen aus dem Kernelspeicher auszuspähen.

Details zur Schwachstelle wurden kürzlich auf der Sicherheitskonferenz
‘BlackHat’ veröffentlicht. Hierbei standen Windows-basierte Systeme auf
Intel-Prozessoren im Fokus.

Microsoft hat mittlerweile bekannt gegeben, dass die Schwachstelle mit dem
letzten Patchtag im Juli bereits behoben wurde. Intel und Microsoft haben
sich darauf geeinigt, dass die Schwachstelle softwareseitig behoben werden
sollte. Details und Verweise auf manuell herunter ladbare Sicherheitsupdates
sind auf der Microsoft-Seite zu der Schwachstelle CVE-2019-1125 zu finden.

Von Seiten anderer Hardwarehersteller hat AMD auf die Veröffentlichung der
Schwachstelle reagiert und gibt an, dass in Prozessoren eigener Herstellung
die Instruktion ‘SWAPGS’ nicht spekulativ verwendet wird. Andere Hersteller
(Apple, ARM) sind vermutlich nicht betroffen, da die Technik dort nicht
eingesetzt wird.

Die Schwachstelle wurde im Linux-Kernel mit dem Commit
18ec54fdd6d18d92025af097cd042a75cf0ea24c behoben.

Dieser Patch wurde vom Android Open Source Project mit dem Commit 1097435
übernommen, wodurch das Sicherheitsupdate auch für Android verfügbar wird.

In ChromeOS wurde dieser Patch mit dem Commit 1739575 ebenfalls eingepflegt
und die Schwachstelle damit geschlossen.

Oracle stellt Sicherheitsupdates für den Unbreakable Enterprise Kernel
(UEK4) für Oracle Linux 6 und 7 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1609]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (09.08.19):
Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete
‘kernel-5.2.7-100.fc29’, ‘kernel-headers-5.2.7-100.fc29’, ‘kernel-
tools-5.2.7-100.fc29’, ‘kernel-5.2.7-200.fc30’, ‘kernel-
headers-5.2.7-200.fc30’ und ‘kernel-tools-5.2.7-200.fc30’ im Status
‘testing’ bereit. Für OpenBSD 6.4 und 6.5 stehen Quellcodepatches als
Sicherheitsupdates zur Verfügung.
Version 1 (08.08.19):
Neues Advisory

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der
Instruktion ‘SWAPGS’ für x86-Mikroprozessoren im 64-Bit-Modus ausnutzen, um
Informationen aus dem Kernelspeicher auszuspähen.

Details zur Schwachstelle wurden kürzlich auf der Sicherheitskonferenz
‘BlackHat’ veröffentlicht. Hierbei standen Windows-basierte Systeme auf
Intel-Prozessoren im Fokus.

Microsoft hat mittlerweile bekannt gegeben, dass die Schwachstelle mit dem
letzten Patchtag im Juli bereits behoben wurde. Intel und Microsoft haben
sich darauf geeinigt, dass die Schwachstelle softwareseitig behoben werden
sollte. Details und Verweise auf manuell herunter ladbare Sicherheitsupdates
sind auf der Microsoft-Seite zu der Schwachstelle CVE-2019-1125 zu finden.

Von Seiten anderer Hardwarehersteller hat AMD auf die Veröffentlichung der
Schwachstelle reagiert und gibt an, dass in Prozessoren eigener Herstellung
die Instruktion ‘SWAPGS’ nicht spekulativ verwendet wird. Andere Hersteller
(Apple, ARM) sind vermutlich nicht betroffen, da die Technik dort nicht
eingesetzt wird.

Die Schwachstelle wurde im Linux-Kernel mit dem Commit
18ec54fdd6d18d92025af097cd042a75cf0ea24c behoben.

Dieser Patch wurde vom Android Open Source Project mit dem Commit 1097435
übernommen, wodurch das Sicherheitsupdate auch für Android verfügbar wird.

In ChromeOS wurde dieser Patch mit dem Commit 1739575 ebenfalls eingepflegt
und die Schwachstelle damit geschlossen.

Oracle stellt Sicherheitsupdates für den Unbreakable Enterprise Kernel
(UEK4) für Oracle Linux 6 und 7 zur Verfügung.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1609]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html