Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 5 (16.05.24):
Für Oracle Linux 8 (aarch64, x86_64) und Oracle Linux 9 (x86_64) stehen
weitere Sicherheitsupdates für den ‘Unbreakable Enterprise Kernel’ bereit,
um die Schwachstelle zu beheben.
Version 4 (14.05.24):
Für Oracle Linux 7 (x86_64) und Oracle Linux 8 (x86_64) stehen
Sicherheitsupdates für den ‘Unbreakable Enterprise kernel-container’
bereit, um die Schwachstelle zu beheben.
Version 3 (13.05.24):
Für Oracle Linux 7 (aarch64, x86_64) und Oracle Linux 8 (x86_64) stehen
Sicherheitsupdates für den Unbreakable Enterprise Kernel bereit, um die
Schwachstelle zu beheben.
Version 2 (08.05.24):
Nachfolgend wurden Probleme mit den ursprünglichen Code-Änderungen
festgestellt, die nun durch neuere Commits für Xen 4.15, 4.16, 4.17 und
4.18 behoben werden.
Version 1 (10.04.24):
Neues Advisory

Unter den Namen ‘Spectre v2’ bzw. ‘Branch History Injection (BHI)’ ist eine
Angriffsstrategie bekannt, die Schwachstellen in der Spekulativen Ausführung
(Speculative Execution) auf Intel-Prozessoren ausnutzt.

Ein Angreifer kann diese Schwachstellen lokal ausnutzen, um Informationen
auszuspähen. Genauer kann ein Angreifer mit Zugang zu CPU-Ressourcen
geschützte Speicherinhalte ausspähen, auch solche, deren Zugriff nur
privilegierten Kernel-Prozessen vorbehalten ist. Dabei ist es potentiell
möglich, Sandboxing-Mechanismen und den durch Virtualisierung gegebenen
Speicherschutz zu umgehen.

Seit der Entdeckung dieses Schwachstellentyps wurden zahlreiche
Gegenmaßnahmen ergriffen. Nun wurde ein neues Analysewerkzeug entwickelt,
das zeigt, dass der Linux-Kernel weiterhin angreifbar ist. Es wurden einige
als ‘Gadgets’ bezeichnete Code-Stellen gefunden, die mit BHI-Techniken
ausnutzbare Schwachstellen enthalten. Die meisten dieser ‘Gadgets’
funktionieren nur mit aktiviertem ‘eBPF’ (extended Berkeley Packet Filter).
Mindestens ein ‘Gadget’ ist auch ohne ‘eBPF’ ausnutzbar. Dies wird als
‘Native-BHI’ bezeichnet.

Intels Firmware enthält Patches, die neben allgemeinen Gegenmaßnahmen eine
Ausnutzung spezifischer Code-Stellen (‘Gadgets’) des Linux-Kernels und
anderer verbreiteter Software verhindern und veröffentlicht Empfehlungen für
Betriebssystem und Virtualiserungsentwickler, um deren Code resistent zu
machen. Inwieweit Intels Patches schon die neuesten Schwachstellen
adressieren, ist aus den bisher publizierten Advisories unklar.

AMD-Prozessoren sind laut Hersteller von diesen neuen Angriffen nicht
betroffen.

Die Virtualisierungssoftware Xen ist zwar nicht direkt von den gefundenen
Linux-Schwachstellen betroffen, nimmt die aktuellen Fortschritte bei den
Angriffstechniken jedoch zum Anlass, Backports ihrer existierenden Spectre-
Mitigationen zu veröffentlichen. Diese sind in den Releases 4.18.2, 4.17.4,
4.16.6 und 4.15.6 enthalten. Für entsprechende Distributionsupgrades werden
separate Advisories veröffentlicht.

Oracle veröffentlicht Sicherheitsupdates für den ‘Unbreakable Enterprise
Kernel’, um die Schwachstellen im Linux-Kernel zu beheben. Diese stehen in
der Version 5.4.17-2136.330.7.1 für Oracle Linux 7 und 8 (x86_64, aarch64),
einschließlich der Variante ‘Kernel-Container’ und in der Version
5.15.0-205.149.5.1 für Oracle Linux 8 und 9 (x86_64, aarch64) bereit. In
einigen dieser Kernel-Updates werden auch weitere Sicherheitslücken behoben.
Für diese werden separate Advsiories veröffentlicht.

SUSE kündigt Kernel-Updates zur Behebung der Schwachstellen an und
veröffentlicht einen Support Artikel, der die Konfiguration von Hard- und
Software-Mitigationen des Kernels erklärt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-0944]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (14.05.24):
Für Oracle Linux 7 (x86_64) und Oracle Linux 8 (x86_64) stehen
Sicherheitsupdates für den ‘Unbreakable Enterprise kernel-container’
bereit, um die Schwachstelle zu beheben.
Version 3 (13.05.24):
Für Oracle Linux 7 (aarch64, x86_64) und Oracle Linux 8 (x86_64) stehen
Sicherheitsupdates für den Unbreakable Enterprise Kernel bereit, um die
Schwachstelle zu beheben.
Version 2 (08.05.24):
Nachfolgend wurden Probleme mit den ursprünglichen Code-Änderungen
festgestellt, die nun durch neuere Commits für Xen 4.15, 4.16, 4.17 und
4.18 behoben werden.
Version 1 (10.04.24):
Neues Advisory

Unter den Namen ‘Spectre v2’ bzw. ‘Branch History Injection (BHI)’ ist eine
Angriffsstrategie bekannt, die Schwachstellen in der Spekulativen Ausführung
(Speculative Execution) auf Intel-Prozessoren ausnutzt.

Ein Angreifer kann diese Schwachstellen lokal ausnutzen, um Informationen
auszuspähen. Genauer kann ein Angreifer mit Zugang zu CPU-Ressourcen
geschützte Speicherinhalte ausspähen, auch solche, deren Zugriff nur
privilegierten Kernel-Prozessen vorbehalten ist. Dabei ist es potentiell
möglich, Sandboxing-Mechanismen und den durch Virtualisierung gegebenen
Speicherschutz zu umgehen.

Seit der Entdeckung dieses Schwachstellentyps wurden zahlreiche
Gegenmaßnahmen ergriffen. Nun wurde ein neues Analysewerkzeug entwickelt,
das zeigt, dass der Linux-Kernel weiterhin angreifbar ist. Es wurden einige
als ‘Gadgets’ bezeichnete Code-Stellen gefunden, die mit BHI-Techniken
ausnutzbare Schwachstellen enthalten. Die meisten dieser ‘Gadgets’
funktionieren nur mit aktiviertem ‘eBPF’ (extended Berkeley Packet Filter).
Mindestens ein ‘Gadget’ ist auch ohne ‘eBPF’ ausnutzbar. Dies wird als
‘Native-BHI’ bezeichnet.

Intels Firmware enthält Patches, die neben allgemeinen Gegenmaßnahmen eine
Ausnutzung spezifischer Code-Stellen (‘Gadgets’) des Linux-Kernels und
anderer verbreiteter Software verhindern und veröffentlicht Empfehlungen für
Betriebssystem und Virtualiserungsentwickler, um deren Code resistent zu
machen. Inwieweit Intels Patches schon die neuesten Schwachstellen
adressieren, ist aus den bisher publizierten Advisories unklar.

AMD-Prozessoren sind laut Hersteller von diesen neuen Angriffen nicht
betroffen.

Die Virtualisierungssoftware Xen ist zwar nicht direkt von den gefundenen
Linux-Schwachstellen betroffen, nimmt die aktuellen Fortschritte bei den
Angriffstechniken jedoch zum Anlass, Backports ihrer existierenden Spectre-
Mitigationen zu veröffentlichen. Diese sind in den Releases 4.18.2, 4.17.4,
4.16.6 und 4.15.6 enthalten. Für entsprechende Distributionsupgrades werden
separate Advisories veröffentlicht.

Oracle veröffentlicht Sicherheitsupdates für den ‘Unbreakable Enterprise
Kernel’, um die Schwachstellen im Linux-Kernel zu beheben. Diese stehen in
der Version 5.4.17-2136.330.7.1 für Oracle Linux 7 und 8 (x86_64, aarch64),
einschließlich der Variante ‘Kernel-Container’ und in der Version
5.15.0-205.149.5.1 für Oracle Linux 8 und 9 (x86_64, aarch64) bereit. In
einigen dieser Kernel-Updates werden auch weitere Sicherheitslücken behoben.
Für diese werden separate Advsiories veröffentlicht.

SUSE kündigt Kernel-Updates zur Behebung der Schwachstellen an und
veröffentlicht einen Support Artikel, der die Konfiguration von Hard- und
Software-Mitigationen des Kernels erklärt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-0944]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (13.05.24):
Für Oracle Linux 7 (aarch64, x86_64) und Oracle Linux 8 (x86_64) stehen
Sicherheitsupdates für den Unbreakable Enterprise Kernel bereit, um die
Schwachstelle zu beheben.
Version 2 (08.05.24):
Nachfolgend wurden Probleme mit den ursprünglichen Code-Änderungen
festgestellt, die nun durch neuere Commits für Xen 4.15, 4.16, 4.17 und
4.18 behoben werden.
Version 1 (10.04.24):
Neues Advisory

Unter den Namen ‘Spectre v2’ bzw. ‘Branch History Injection (BHI)’ ist eine
Angriffsstrategie bekannt, die Schwachstellen in der Spekulativen Ausführung
(Speculative Execution) auf Intel-Prozessoren ausnutzt.

Ein Angreifer kann diese Schwachstellen lokal ausnutzen, um Informationen
auszuspähen. Genauer kann ein Angreifer mit Zugang zu CPU-Ressourcen
geschützte Speicherinhalte ausspähen, auch solche, deren Zugriff nur
privilegierten Kernel-Prozessen vorbehalten ist. Dabei ist es potentiell
möglich, Sandboxing-Mechanismen und den durch Virtualisierung gegebenen
Speicherschutz zu umgehen.

Seit der Entdeckung dieses Schwachstellentyps wurden zahlreiche
Gegenmaßnahmen ergriffen. Nun wurde ein neues Analysewerkzeug entwickelt,
das zeigt, dass der Linux-Kernel weiterhin angreifbar ist. Es wurden einige
als ‘Gadgets’ bezeichnete Code-Stellen gefunden, die mit BHI-Techniken
ausnutzbare Schwachstellen enthalten. Die meisten dieser ‘Gadgets’
funktionieren nur mit aktiviertem ‘eBPF’ (extended Berkeley Packet Filter).
Mindestens ein ‘Gadget’ ist auch ohne ‘eBPF’ ausnutzbar. Dies wird als
‘Native-BHI’ bezeichnet.

Intels Firmware enthält Patches, die neben allgemeinen Gegenmaßnahmen eine
Ausnutzung spezifischer Code-Stellen (‘Gadgets’) des Linux-Kernels und
anderer verbreiteter Software verhindern und veröffentlicht Empfehlungen für
Betriebssystem und Virtualiserungsentwickler, um deren Code resistent zu
machen. Inwieweit Intels Patches schon die neuesten Schwachstellen
adressieren, ist aus den bisher publizierten Advisories unklar.

AMD-Prozessoren sind laut Hersteller von diesen neuen Angriffen nicht
betroffen.

Die Virtualisierungssoftware Xen ist zwar nicht direkt von den gefundenen
Linux-Schwachstellen betroffen, nimmt die aktuellen Fortschritte bei den
Angriffstechniken jedoch zum Anlass, Backports ihrer existierenden Spectre-
Mitigationen zu veröffentlichen. Diese sind in den Releases 4.18.2, 4.17.4,
4.16.6 und 4.15.6 enthalten. Für entsprechende Distributionsupgrades werden
separate Advisories veröffentlicht.

Oracle veröffentlicht Sicherheitsupdates für den ‘Unbreakable Enterprise
Kernel’, um die Schwachstellen im Linux-Kernel zu beheben. Diese stehen in
der Version 5.4.17-2136.330.7.1 für Oracle Linux 7 und 8 (x86_64, aarch64),
einschließlich der Variante ‘Kernel-Container’ und in der Version
5.15.0-205.149.5.1 für Oracle Linux 8 und 9 (x86_64, aarch64) bereit. In
einigen dieser Kernel-Updates werden auch weitere Sicherheitslücken behoben.
Für diese werden separate Advsiories veröffentlicht.

SUSE kündigt Kernel-Updates zur Behebung der Schwachstellen an und
veröffentlicht einen Support Artikel, der die Konfiguration von Hard- und
Software-Mitigationen des Kernels erklärt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-0944]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (08.05.24):
Nachfolgend wurden Probleme mit den ursprünglichen Code-Änderungen
festgestellt, die nun durch neuere Commits für Xen 4.15, 4.16, 4.17 und
4.18 behoben werden.
Version 1 (10.04.24):
Neues Advisory

Unter den Namen ‘Spectre v2’ bzw. ‘Branch History Injection (BHI)’ ist eine
Angriffsstrategie bekannt, die Schwachstellen in der Spekulativen Ausführung
(Speculative Execution) auf Intel-Prozessoren ausnutzt.

Ein Angreifer kann diese Schwachstellen lokal ausnutzen, um Informationen
auszuspähen. Genauer kann ein Angreifer mit Zugang zu CPU-Ressourcen
geschützte Speicherinhalte ausspähen, auch solche, deren Zugriff nur
privilegierten Kernel-Prozessen vorbehalten ist. Dabei ist es potentiell
möglich, Sandboxing-Mechanismen und den durch Virtualisierung gegebenen
Speicherschutz zu umgehen.

Seit der Entdeckung dieses Schwachstellentyps wurden zahlreiche
Gegenmaßnahmen ergriffen. Nun wurde ein neues Analysewerkzeug entwickelt,
das zeigt, dass der Linux-Kernel weiterhin angreifbar ist. Es wurden einige
als ‘Gadgets’ bezeichnete Code-Stellen gefunden, die mit BHI-Techniken
ausnutzbare Schwachstellen enthalten. Die meisten dieser ‘Gadgets’
funktionieren nur mit aktiviertem ‘eBPF’ (extended Berkeley Packet Filter).
Mindestens ein ‘Gadget’ ist auch ohne ‘eBPF’ ausnutzbar. Dies wird als
‘Native-BHI’ bezeichnet.

Intels Firmware enthält Patches, die neben allgemeinen Gegenmaßnahmen eine
Ausnutzung spezifischer Code-Stellen (‘Gadgets’) des Linux-Kernels und
anderer verbreiteter Software verhindern und veröffentlicht Empfehlungen für
Betriebssystem und Virtualiserungsentwickler, um deren Code resistent zu
machen. Inwieweit Intels Patches schon die neuesten Schwachstellen
adressieren, ist aus den bisher publizierten Advisories unklar.

AMD-Prozessoren sind laut Hersteller von diesen neuen Angriffen nicht
betroffen.

Die Virtualisierungssoftware Xen ist zwar nicht direkt von den gefundenen
Linux-Schwachstellen betroffen, nimmt die aktuellen Fortschritte bei den
Angriffstechniken jedoch zum Anlass, Backports ihrer existierenden Spectre-
Mitigationen zu veröffentlichen. Diese sind in den Releases 4.18.2, 4.17.4,
4.16.6 und 4.15.6 enthalten. Für entsprechende Distributionsupgrades werden
separate Advisories veröffentlicht.

Oracle veröffentlicht Sicherheitsupdates für den ‘Unbreakable Enterprise
Kernel’, um die Schwachstellen im Linux-Kernel zu beheben. Diese stehen in
der Version 5.4.17-2136.330.7.1 für Oracle Linux 7 und 8 (x86_64, aarch64),
einschließlich der Variante ‘Kernel-Container’ und in der Version
5.15.0-205.149.5.1 für Oracle Linux 8 und 9 (x86_64, aarch64) bereit. In
einigen dieser Kernel-Updates werden auch weitere Sicherheitslücken behoben.
Für diese werden separate Advsiories veröffentlicht.

SUSE kündigt Kernel-Updates zur Behebung der Schwachstellen an und
veröffentlicht einen Support Artikel, der die Konfiguration von Hard- und
Software-Mitigationen des Kernels erklärt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-0944]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html