Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (09.03.22):
Neues Advisory

Ein Angreifer kann Schwachstellen in der Implementierung der spekulativen
Instruktionsausführung ausnutzen, um Informationen auszuspähen. AMD gibt an,
dass die Mitigation V2-2 für die als ‘Spectre Variant 2’ bekannte
Schwachstelle CVE-2017-5715 teilweise unzureichend ist und hat hierfür die
Schwachstelle CVE-2021-26401 vergeben.

Für die Ausnutzung der Schwachstellen sind übliche Privilegien erforderlich
und ihre erfolgreiche Ausnutzung kann Einfluss auf andere Komponenten haben.

AMD empfiehlt zur Adressierung der Schwachstelle CVE-2017-5715 die Nutzung
der veröffentlichten Mitigationen V2-1 ‘generic retpoline’ oder V2-4 ‘IBRS’.
Benutzer von Linux-Systemen können während des ‘Boot’-Vorgangs entscheiden,
welche Mitigation genutzt wird. Alternativ ist ein Update auf eine Linux-
Kernel Version möglich, die einen von AMD bereitgestellten Patch umfasst.

AMD stellt über das White Paper ‘SOFTWARE TECHNIQUES FOR MANAGING
SPECULATION ON AMD PROCESSORS’ weitere Informationen zum Umgang mit der
Schwachstelle bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-0531]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html