Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (15.07.22):
AMD führt im hauseigenen Sicherheitshinweis jetzt auch den eigens
gewählten Bezeichner CVE-2022-23816 für ‘Retbleed’ mit auf.
Version 1 (13.07.22):
Neues Advisory

Ein Angreifer mit niedrigen Privilegien kann zwei Schwachstellen lokal
ausnutzen, um Informationen auszuspähen.

AMD empfiehlt zur Adressierung der Schwachstellen die Nutzung der
veröffentlichten Mitigationen V2-1 ‘retpoline’ oder V2-4 ‘IBRS’. Benutzer
von Linux-Systemen können während des ‘Boot’-Vorgangs entscheiden, welche
Mitigation genutzt wird.

AMD stellt über das White Paper ‘TECHNICAL GUIDANCE FOR MITIGATING BRANCH
TYPE CONFUSION’ weitere Informationen zum Umgang mit den Schwachstellen
bereit.

Die Schwachstellen betreffen nicht den Citrix Hypervisor selbst, sondern die
zugrundeliegende Hardware. Citrix stellt Hotfixes als Sicherheitsupdates für
Citrix Hypervisor 8.2 CU1 LTSR sowie Citrix XenServer 7.1 CU2 LTSR zur
Verfügung, um die Schwachstellen zu mitigieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2022-1563]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html