2018-0019: Mikroprozessoren, Firmware: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-01-04 14:56)

Neues Advisory

Version 2 (2018-01-05 12:30)

Für openSUSE Leap 42.3 steht mittels des Paketes 'kernel-firmware' ein Sicherheitsupdate für die AMD 17h-Produkfamilie zur Verfügung. Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate für QEMU bereit. Das Pakte 'kvm' für SUSE Linux Enterprise Server 11 SP4 stellt neben Änderungen, die zur Behebung der Schwachstelle CVE-2017-5715 erforderlich sind, auch eine Korrektur für die Denial-of-Service-Schwachstelle CVE-2017-2633 bereit. Für Oracle Linux 6 (i386, x86_64) wird das Paket 'microcode_ctl' aktualisiert und enthält Korrekturen für Intel und AMD Prozessoren. Im 'microcode_ctl'-Sicherheitsupdate für Oracle Linux 7 (x86_64) werden AMD Prozessoren nicht erwähnt, sondern scheinbar nur Änderungen für Intel Prozessoren umgesetzt. Weiterhin werden für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) Sicherheitsupdates für 'qemu-kvm' und 'libvirt' veröffentlicht. Red Hat veröffentlicht für weitere Red Hat Enterprise Linux 6 und 7 Produkte Sicherheitsupdates für Intel und AMD Mikroprozessoren über aktualisierte 'microcode_ctl'-Pakete. Für verschiedene Red Hat Enterprise Linux 6 und 7 Produktvarianten sowie Red Hat Virtualization 3.X und 4 stehen Sicherheitsupdates für die Kernel-based Virtual Machine (KVM) in Form von 'qemu-kvm'- bzw. 'qemu-kvm-rhev'-Paketen zur Verfügung. Das Paket 'libvirt' wird als Sicherheitsupdate für mehrere Red Hat Enterprise Linux 6 und 7 Produktvarianten, Red Hat Gluster Storage Server for On-premise 3 sowie Red Hat Virtualization 3.X und 4 bereitgestellt.

Version 3 (2018-01-05 15:49)

openSUSE veröffentlicht für die Distributionen Leap 42.2 und Leap 42.3 Sicherheitsupdates in Form des Paketes 'ucode-intel', um die Schwachstelle für Haswell-X, Skylake-X und Broadwell-X Chip-Sets zu adressieren, merkt aber an, dass für die Wirksamkeit der Korrektur zusätzlicher Linux-Kernel Programmcode benötigt wird.

Version 4 (2018-01-08 13:00)

Zur Behebung der Schwachstelle in der AMD 17h-Produktfamilie wird für openSUSE Leap 42.2 ein Sicherheitsupdate für 'kernel-firmware' bereitgestellt. Für openSUSE Leap 42.3 wird ein QEMU-Sicherheitsupdate veröffentlicht. Ein aktualisiertes 'qemu-kvm'-Paket steht für Oracle VM 3.4 zur Verfügung. Für Oracle VM 3.4 steht ebenfalls ein neues 'microcode_ctl'-Paket bereit, welches die hier genannte Schwachstelle zwar nicht referenziert, aber eine Aktualisierung auf die gleiche Version (1.17-25.2) vornimmt, die für Oracle Linux 6 als Sicherheitsupdate zur Behebung der Schwachstelle mittels der Meldung ELSA-2018-0013 spezifiziert wurde. Sicherheitsupdates stehen für Fedora 26 und 27 für 'dracut' (Status 'stable') und 'linux-firmware' (Status 'testing') zur Verfügung. In diesen Sicherheitsupdates wird ebenfalls keine behobene Schwachstelle referenziert, allerdings wird von einem Update für AMD Prozessoren gesprochen, was eine Verbindung zu dieser Schwachstelle nahelegt. Nach der Installation der verfügbaren Updates ist ein Neustart des Systems erforderlich, damit die Aktualisierungen wirksam werden.

Version 5 (2018-01-08 19:04)

Für SUSE Linux Enterprise Desktop und Server 12 SP2 sowie für SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 stehen nun Sicherheitsupdates für 'qemu' bereit, welche die zur Behebung der Schwachstelle CVE-2017-5715 erforderlichen Änderungen einspielen. Darüber hinaus veröffentlicht Red Hat zur Behebung der Schwachstelle weitere Sicherheitsupdates für 'linux-firmware' in Red Hat Enterprise Linux Server AUS 7.2, TUS 7.2 und 4 year EUS 7.2, für das Paket 'vdsm' für Red Hat Virtualization 3 (ELS) und 4, für 'ovirt-guest-agent-docker' in Red Hat Virtualization 4, für 'rhevm-setup-plugins' in Red Hat Virtualization 3.6 (ELS) und 4.1 sowie Red Hat Virtualization Manager 4.1 und für 'qemu-kvm-rhev' für OpenStack 6.0 (Juno), 7.0 (Kilo), 8.0 (Liberty), 9.0 (Mitaka), 10.0 (Newton), 11.0 (Ocata) und 12.0 (Pike).

Version 6 (2018-01-09 12:11)

Für SUSE OpenStack Cloud 6, SUSE Linux Enterprise Server for SAP 12 SP1 sowie Server 12 SP1 LTSS steht ein 'kernel-firmware'-Sicherheitsupdate für die AMD 17h-Produktfamilie bereit. Für SUSE Linux Enterprise Server 11 SP3 LTSS ist ein Sicherheitsupdate für die Kernel-based Virtual Machine (kvm) verfügbar, welches zusätzlich die Denial-of-Service-Schwachstelle CVE-2017-2633 adressiert.

Version 7 (2018-01-10 10:48)

Für SUSE Linux Enterprise Server 12 LTSS steht ein 'kernel-firmware'-Sicherheitsupdate für die AMD 17h-Produktfamilie bereit. Für die Produktvarianten SUSE Linux Enterprise Server for SAP 12 SP1 sowie Server 12 SP1 LTSS und OpenStack Cloud 6 steht ein Sicherheitsupdate in Form des Paketes 'qemu' zur Verfügung.

Version 8 (2018-01-10 15:50)

Für openSUSE Leap 42.2 steht ebenfalls ein Sicherheitsupdate für 'qemu' zur Verfügung. Für Fedora 26 und 27 stehen die Pakete 'microcode_ctl-2.1-20.fc26' und 'microcode_ctl-2.1-20.fc27' im Status 'pending' als Sicherheitsupdates bereit.

Version 9 (2018-01-11 17:25)

Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates für 'ucode-intel' zur Verfügung, mit denen der Intel CPU Microcode auf Version 20180108 aktualisiert wird.

Version 10 (2018-01-12 13:13)

Für SUSE Linux Enterprise Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3; Server for SAP 12 SP1, Desktop 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates für 'ucode-intel' zur Verfügung, mit denen auf Intel CPU Microcode Version 20180108 aktualisiert wird. Für SUSE Linux Enterprise Server 11 SP3 LTSS und 11 SP4 wird durch entsprechende Sicherheitsupdates für 'microcode_ctl' auf Intel Microcode Version 20180108 aktualisiert. Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS ebenfalls Sicherheitsupdates für den Processor Microcode for Intel CPUs zur Verfügung, um die Schwachstelle CVE-2017-5715 (Spectre) zu beheben.

Version 11 (2018-01-17 18:57)

Red Hat veröffentlicht für Red Hat Enterprise Linux 6 und 7 Produkte Sicherheitsupdates für 'microcode_ctl' und für Enterprise Linux 7 Produktvarianten Sicherheitsupdates für 'linux-firmware'. Red Hat veröffentlicht diese Pakete, um die 'microcode' Sicherheitsupdates zur Mitigation der Schwachstelle 'Spectre' zurückzunehmen, da weiterführende Tests jetzt gezeigt haben, dass die Updates zu Systeminstabilitäten führen können. Das verfügbare 'microcode' Update setzt den Code zurück auf die letzte stabile Codeversion, die vor dem 03. Januar 2018 erstellt wurde.

Version 12 (2018-01-18 15:47)

Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen entsprechende neue Sicherheitsupdates für den 'microcode_ctl' bereit, mit denen einige Anpassungen für verschiedene Prozessoren vorgenommen werden, um aufgetretene Probleme zu beheben.

Version 13 (2018-01-18 16:07)

Für Oracle VM 3.4 stehen gleichermaßen neue Sicherheitsupdates für den 'microcode_ctl' bereit, mit denen Anpassungen für verschiedene Prozessoren vorgenommen werden, unter anderem um aufgetretene Probleme zu beheben.

Version 14 (2018-01-22 11:59)

Oracle hat für eine Reihe von CPUIDs die kürzlich zur Verfügung gestellten Updates aus dem Oracle Linux Security Advisory ELSA-2018-0093 wieder zurückgenommen.

Version 15 (2018-01-22 19:02)

Mit dem Update des Intel Microcodes auf das 20180108 Release durch USN-3531-1 wurden Regressionen eingeführt, die auf bestimmten Hardware-Plattformen zu Systeminstabilitäten geführt haben. Auf Anfrage von Intel hat Canonical die Pakete für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS auf die vorherige Microcode Version 20170707 zurückgesetzt.

Version 16 (2018-01-23 12:21)

Für Oracle VM 3.4 stehen neue Sicherheitsupdates für 'microcode_ctl' zur Verfügung, mit denen vorherige Updates für Broadwell model 79, dracut und verschiedene Intel CPUs rückgängig gemacht werden.

Version 17 (2018-01-24 15:26)

Für die speziellen Red Hat Linux Enterprise Editionen 6.2 AUS, 6.4 AUS, 6.5 AUS, 6.6 AUS, 6.6 TUS und 6.7 EUS stehen aktualisierte 'qemu-kvm' und 'libvirt'-Pakete bereit, um Mitigationen für die Schwachstelle CVE-2107-5715 (Spectre Variante 2) zur Verfügung zu stellen. Darüber hinaus stehen weitere Bug-Fix-Advisories von Red Hat bereit, die mit den bisherigen Sicherheitsupdates aufgetretene Probleme adressieren.

Version 18 (2018-02-08 19:16)

Canonical stellt für Ubuntu 17.10, 16.04 LTS sowie 14.04 LTS Sicherheitsupdates für die Pakete 'libvirt' und 'qemu' zur Verfügung. Durch das Update werden zuvor per Firmwareupdate eingespielte CPU-Features aktiviert und erschweren die Ausnutzung der Schwachstelle in virtualisierten Umgebungen.

Version 19 (2018-02-12 12:48)

Für die Distributionen Fedora 26 und 27 stehen Sicherheitsupdates auf die Linux-Kernel Version 4.14.18 bereit, die neben einer Reihe wichtiger Korrekturen auch weitere Mitigationen für die Spectre-Schwachstelle umfassen. Die Sicherheitsupdates befinden sich derzeit im Status 'testing''.

Version 20 (2018-03-06 12:42)

Für Oracle VM 3.4 sowie Oracle Linux 6 (i386, x86_64) und 7 (x86_64) stehen neue Bug Fix Updates für 'microcode_ctl' zur Verfügung, mit denen die zunächst mit den vorherigen Sicherheitsupdates für Broadwell model 79, dracut und verschiedene Intel CPUs rückgängig gemachten Updates zumindest teilweise repariert werden.

Version 21 (2018-03-15 14:27)

Red Hat informiert in seinem fortlaufend aktualisierten Artikel 'Controlling the Performance Impact of Microcode and Security Patches for CVE-2017-5754 CVE-2017-5715 and CVE-2017-5753 using Red Hat Enterprise Linux Tunables' (siehe Referenz) über den Einsatz von 'Retpoline'-Codesequenzen als Spectre-V2-Schutz, insbesondere für ältere Intel-Prozessoren. Für Red Hat Enterprise Linux Server AUS 6.5, AUS 6.6 und TUS 6.6 sowie Red Hat Enterprise Linux 7.2 Advanced Update Support (AUS, 4 Year Extended Update Support und TUS) stehen Sicherheitsupdates in Form aktualisierter 'kernel'-Pakete zur Verfügung, durch welche der 'Return Trampoline' (Retpoline)-Mechanismus bereitgestellt wird. Weiterhin stellt Red Hat nun auch aktualisierte 'gcc'-Pakete zur Verfüung. Diese stellen Compiler für C, C++, Java, Fortran, Objective C und Ada 95 GNU sowie damit verbundene Bibliotheken bereit. Mit diesen Sicherheitsupdates wird Unterstützung für 'Retpoline' für GNU GCC für die folgenden Produkte bereitgestellt: Red Hat Enterprise Linux 5 Extended Lifecycle Support (ELS), Red Hat Enterprise Linux 5.9 (Long Life) Advanced Update Support (AUS), Red Hat Enterprise Linux Server AUS 6.4 und AUS 6.5, Red Hat Enterprise Linux 6.6 Advanced Update Support (Server AUS und Server TUS), Red Hat Enterprise Linux 6.7 Extended Update Support (EUS Compute Node, Server), Red Hat Enterprise Linux 6 und 7 (Desktop, Server, Workstation und Linux for Scientific Computing), Red Hat Enterprise Linux 7.2 Advanced Update Support (AUS, 4 Year Extended Update Support und TUS), Red Hat Enterprise Linux 7.3 Extended Update Support (EUS Compute Node, Server EUS, 4 Year Extended Update Support und TUS), Red Hat Enterprise Linux EUS Compute Node 7.4 und Red Hat Enterprise Linux Server 7.4 (AUS, EUS, 4 Year Extended Update Support und TUS) sowie Red Hat Virtualization Host 4. Oracle stellt für Oracle Linux 6 (i386, x86_64) die entsprechenden Sicherheitsupdates für 'gcc' zur Verfügung. Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen zusätzlich Sicherheitsupdates für den Kernel 4.1.12-112.16 bereit, welche ebenfalls Unterstützung für 'Retpoline' bringen. Und für openSUSE Leap 42.3 steht ein empfohlenes Update für 'gcc7' auf Version 7.3 bereit, um ebenfalls 'Retpoline' zu unterstützen.

Version 22 (2018-03-19 12:22)

Für die SUSE Linux Enterprise Produkte Server 11 SP3 LTSS, 11 SP4, 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 SP1, Desktop 12 SP2 und 12 SP3, OpenStack Cloud 6 sowie openSUSE Leap 42.3 stehen Sicherheitsupdates für 'microcode_ctl' bzw. 'ucode-intel' bereit, durch die der Intel CPU Microcode auf Version 20180312 aktualisiert wird. Durch dieses Update werden IBPB+IBRS basierende Mitigationen der Schwachstelle CVE-2017-5715 (Spectre Variant 2) zur Verfügung gestellt.

Version 23 (2018-03-20 11:44)

Für openSUSE Leap 42.3 stehen nun Sicherheitsupdates für alle Kernel-Modul-Pakete (KMP) zur Behebung der Schwachstelle CVE-2017-5715 (Spectre Variant 2) zur Verfügung. Die KMPs sind mit der sogenannten 'retopline'-Mitigationstechnik versehen worden.

Version 24 (2018-03-21 16:51)

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server for Raspberry Pi, Server und Real Time Extension jeweils in Version 12 SP2 stehen nun Sicherheitsupdates für 'crash' zur Behebung der Schwachstelle CVE-2017-5715 (Spectre Variant 2) zur Verfügung. Die Crash-Kernel-Module-Pakete sind mit der sogenannten 'retopline'-Mitigationstechnik versehen worden.

Version 25 (2018-04-03 17:19)

Canonical stellt für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.10 erneut 'intel-microcode'-Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung. Das mittels der Ubuntu Security Notice USN-3531-2 veröffentlichte Sicherheitsupdate war am 22.01.2018 zurückgezogen worde, nachdem es auf verschiedenen Systemen zu Instabilität geführt hatte.

Version 26 (2018-04-04 14:25)

Für Oracle VM 3.4 steht ein neues Sicherheitsupdate für 'xen' zur Verfügung, mit dem unter anderem eine fehlerhafte Prüfung im Zusammenhang mit der Schwachstelle Spectre V2 (CVE-2017-5715) behoben wird.

Version 27 (2018-05-22 18:59)

Für Oracle Linux 6 und 7 stehen erneut Microcode_ctl Bug Fix and Enhancement Updates im Kontext der Schwachstelle Spectre V2 (CVE-2017-5715) bereit.

Version 28 (2018-05-30 13:05)

Für SUSE Linux Enterprise High Availability 12 SP1 steht ein Sicherheitsupdate für die HA Kernel Modules mit 'retopline'-Unterstützung zur Mitigation der Schwachstelle bereit.

Version 29 (2018-05-30 13:45)

Für Red Hat Enterprise Linux 7.3 Extended Update Support stehen Sicherheitsupdates bereit, mit denen der AMD CPU Microcode auf die aktuelle Version gebracht wird. Damit werden auch weitere Mitigationen gegen Spectre v2 implementiert.

Version 30 (2018-05-31 13:41)

Red Hat stellt für die Red Hat Enterprise Linux Produkte Server, Desktop, Workstation und Linux for Scientific Computing in den Versionen 6 und 7 Sicherheitsupdates bereit. Für Red Hat Enterprise Linux Server AUS 6.4, AUS 6.5, AUS 6.6, EUS 6.7, EUS 7.5 und TUS 6.6 sowie EUS Compute Node 6.7 und 7.5 und Linux for ARM 64 in der Version 7 stehen Sicherheitsupdates für 'microcode_ctl' bzw. 'linux-firmware' bereit, mit denen der AMD CPU Microcode auf die aktuelle Version gebracht wird. Damit werden auch weitere Mitigationen gegen 'Spectre v2' implementiert. Des Weiteren steht ein Update für Red Hat Enterprise MRG Realtime 2 zur Verfügung, welches auf Red Hat Enterprise Linux 6 basiert.

Version 31 (2018-06-01 18:08)

Für den High Availability Kernel in SUSE Linux Enterprise High Availability 12 steht ein Sicherheitsupdate bereit, mit dem die Unterstützung für 'retpoline' gegen Spectre v2 implementiert wird.

Version 32 (2018-06-05 15:23)

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP3 LTSS und 11 SP4 sowie Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für 'gcc43' bereit, mit denen die Unterstützung für 'expolines' gegen Spectre v2 auf s390x-Systemen implementiert und ein Compiler-Absturz behoben werden, der beim Bauen von Paketen mit 'x86 retpolines' im 'userland' auftrat.

Version 33 (2018-06-05 18:09)

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und High Availability jeweils in Version 12 SP3 stehen Sicherheitsupdates für 'oracleasm kmp' bereit, mit denen neu gebaute Kernel-Module für SUSE Linux Enterprise 12 SP3 mit 'retpoline' gegen 'Spectre Variant 2' ausgeliefert werden. Für openSUSE Leap 42.3 wird das entsprechende Sicherheitsupdate zur Verfügung gestellt.

Version 34 (2018-06-08 12:22)

Für SUSE Linux Enterprise Server 12 SP3, 12 SP2 LTSS, Server for SAP 12 SP2 und Desktop 12 SP3 sowie SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates in Form der Pakete 'kernel-firmware-20170530-21.22.1' und 'ucode-amd-20170530-21.22.1' bereit. Für SUSE Container as a Platform ALL steht das Paket 'kernel-firmware-20170530-21.22.1' bereit, um die Schwachstelle zu beheben.

Version 35 (2018-06-11 13:12)

Für OpenSUSE Leap 42.3 stehen Sicherheitsupdates in Form der Pakete 'kernel-firmware-20170530-20.1' und 'ucode-amd-20170530-20.1' bereit, um die Schwachstelle zu beheben.

Version 36 (2018-06-13 17:46)

Für Red Hat Enterprise Linux 7, 7.2 Advanced Update Support sowie 7.3 und 7.4 Extended Update Support stehen neue Updates für 'linux-firmware' bereit, die eine Regression beheben. In einem vorigen Update wurde die Unterstützung für AMD CPUID 0x00610f01 entfernt, so dass Microcode auf betroffenen Systemen nicht mehr aktualisiert werden konnte.

Version 37 (2018-06-20 12:15)

Für SUSE Linux Enterprise Server 11 SP4 steht ein Sicherheitsupdate für 'microcode_ctl' bereit, mit dem die Unterstützung für IBPB zur Mitigation von Spectre v2 implementiert wird.

Version 38 (2018-06-21 12:06)

Canonical stellt für die Distributionen Ubuntu 18.04 LTS, Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für den Processor Microcode for AMD CPUs zur Verfügung, um die Schwachstelle CVE-2017-5715 (Spectre V2) zu beheben.

Version 39 (2018-06-25 13:21)

Für SUSE Linux Enterprise Software Development Kit, Server und Real Time Extension 11 SP4 stehen Sicherheitsupdates für die Kernel-Module 'ofed' und 'iscsitarget' mit 'retopline'-Unterstützung zur vollständigen Behebung der Schwachstelle CVE-2017-5715 (Spectre v2) bereit.

Version 40 (2018-07-06 12:12)

Mit dem letzten Update für den Microcode für AMD-Prozessoren wurde in Ubuntu 14.04 LTS eine Regression eingeführt, die zu Bootproblemen bei manchen Systemen geführt hat. Canonical veröffentlicht ein neues Sicherheitsupdate für Ubuntu 14.04 LTS (USN-3690-2) mit dem das vorige Update aus USN-3690-1 rückgängig gemacht wird.

Version 41 (2018-08-06 13:47)

Für SUSE Linux Enterprise Module for Basesystem 15 steht ein Sicherheitsupdate für 'kernel-firmware' auf Version 20180525 zur Behebung der Schwachstelle bereit. Gleichzeitig wird das Paket 'ucode-amd' aktualisiert.

Version 42 (2018-08-08 11:09)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'kernel-firmware' zur Behebung der Schwachstelle bereit, mit dem die Software auf Version 20180525 aktualisiert wird.

Version 43 (2018-09-06 16:52)

Für die Produkte SUSE OpenStack Cloud 7, SUSE Linux Enterprise Server for SAP 12 SP2, SUSE Linux Enterprise Server 12 SP2 LTSS und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'libvirt' zur Verfügung.

Version 44 (2018-10-19 13:52)

SUSE stellt für SUSE Linux Enterprise Server 12 SP2 BCL ein Sicherheitsupdate für 'libvirt' zur Behebung der Schwachstelle zur Verfügung.

Version 45 (2018-10-19 15:17)

Für SUSE Linux Enterprise Server 12 SP2 BCL steht ein Sicherheitsupdate für 'kernel-firmware' zur Behebung der Schwachstelle bereit.

Version 46 (2019-04-01 13:05)

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server, Real Time Extension, High Availability Extension und Debuginfo jeweils in Version 11 SP4 stehen Sicherheitsupdates bereit, durch die noch fehlende neu gebaute Kernel Module (KMP) zur Verfügung gestellt werden, um 'Retpolines' zur Mitigation der Spectre Variant 2 Schwachstelle verwenden zu können. Folgende neu gebaute KMP-Pakete sind enthalten: 'cluster-network', 'drbd', 'gfs2', 'iscsitarget', 'ocfs2', 'ofed' und 'oracleasm'.

Version 47 (2020-03-23 10:27)

Debian stellt für Debian 8 Jessie (LTS) ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'amd64-microcode' adressiert wird.

Version 48 (2021-08-16 15:52)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'amd64-microcode' auf Version 3.20181128.1~deb9u1 bereit, um die Schwachstelle zu beheben.

Version 49 (2021-10-18 13:40)

Für Debian 9 Stretch (LTS) steht jetzt ein Sicherheitsupdate für 'amd64-microcode' auf Version 3.20181128.1~deb9u2 bereit, um die Schwachstelle zu beheben, da das vorherige Update nicht veröffentlicht worden war.

Betroffene Software

Datensicherung
Entwicklung
Netzwerk
Server
Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle
Virtualisierung

Beschreibung:

Es wurden mehrere Schwachstellen in der Implementierung der spekulativen Instruktionsausführung für verschiedene Prozessoren entdeckt. Eine der Schwachstellen (CVE-2017-5715, Spectre) ermöglicht es einem Angreifer lokal privilegierten Speicher unter Umgehung der Syscall-Grenzen zu lesen. Die ausgespähten Informationen können für weitere Angriffe verwendet werden. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben.

Die Behebung der Schwachstelle erfordert ein Kernel-Update und zusätzliche Änderungen an der Prozessorfirmware. Dieser Sicherheitshinweis behandelt die Updates für die Prozessorfirmware, für den Kernel wird ein gesonderter Sicherheitshinweis veröffentlicht.

Es stehen unterschiedliche Sicherheitsupdates für das Paket 'microcode_ctl' zur Verfügung. Für SUSE Linux Enterprise Server 11 SP3 LTSS und 11 SP4 stehen Sicherheitsupdates für die AMD 17h-Produktfamilie sowie für Intel Haswell-X, Skylake-X and Broadwell-X Prozessoren zur Verfügung. Red Hat stellt für Red Hat Enterprise Linux 6 und 7 und alle davon aktuell unterstützen Editionen ebenfalls ein Sicherheitsupdate für 'microcode_ctl' zur Verfügung, nennt aber keine genauen Prozessoren (Intel und AMD werden genannt). Für aktuelle SUSE Linux Enterprise 12 Produkte wird über das Paket 'kernel-firmware' ein Sicherheitsupdate zur Verfügung gestellt, hier wird nur die AMD 17h-Produkfamilie genannt. Updates für Intel Prozessoren stehen hier über das Paket 'ucode-intel' zur Verfügung, dieses Update betrifft auch OpenStack Cloud 6. Für Red Hat Enterprise Linux 7 und Red Hat Enterprise Linux 7.3 Extended Update Support wird 'kernel-firmware' ebenfalls aktualisiert, um die Schwachstelle zu beheben.

Darüber hinaus steht für SUSE Linux Enterprise Desktop und Server 12 SP3 sowie für SUSE Container as a Service Platform ALL ein Sicherheitsupdate für 'qemu' bereit, das zur Behebung der Schwachstelle CVE-2017-5715 erforderliche Änderungen einspielt.

Schwachstellen:

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.