DFN-CERT-2018-0976 Cisco Spectre Varianten 3a und 4: Zwei Schwachstellen ermöglichen das Ausspähen von sensiblen Informationen

DFN-CERT-2018-0976 Cisco Spectre Varianten 3a und 4: Zwei Schwachstellen ermöglichen das Ausspähen von sensiblen Informationen

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (23.05.18):
Neues Advisory

Zwei Schwachstellen ermöglichen einem lokalen, einfach authentisierten
Angreifer das Ausspähen sensibler Informationen aus dem Speicher. Es handelt
sich dabei um zwei weitere Hardware-basierte Schwachstellen, die auf der
Implementierung der Spekulativen Instruktionsausführung in modernen
Mikroprozessoren basieren. Die Schwachstelle CVE-2018-3639 wird auch mit dem
Namen ‘Spectre-NG’, ‘Spectre Variant 4’ bzw. ‘Side-Channel Variant 4’
bezeichnet und deckt den Fall des ‘Speculative Storage Bypass’ (SSB) ab. Die
Schwachstelle CVE-2018-3640 wird auch mit dem Namen ‘Spectre Variant 3a’
bzw. ‘Side-Channel Variant 3a’ bezeichnet und deckt den Fall des ‘Rouge
System Register Read’ (RSRE) ab.

Cisco informiert über die Schwachstellen und arbeitet derzeit daran, die
Produktpalette in anfällige und nicht anfällige Produkte einzuteilen. Um die
Schwachstelle auszunutzen, muss der lokale Angreifer laut Cisco dazu in der
Lage sein Programmcode zur Ausführung zu bringen. Das ist jedoch bei einer
großen Zahl von Cisco-Produkten nicht möglich, weshalb bereits jetzt viele
Produkte unter der Kategorie ‘nicht anfällig’ aufgeführt sind. Weiterhin hat
Cisco erste Produkte identifiziert, die verwundbar gegenüber den
Schwachstellen sind. Dazu gehören diverse Unified Computing Systems (UCS)
der B- und C-Serie, der UCS S3260 M4 Storage Server sowie das Connected Grid
Routers (CGR) 1000 Compute Module. Patches für diese Produkte werden
voraussichtlich gegen Ende Juni 2018 zur Verfügung gestellt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0976]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben