2018-0031: Cisco, Spectre, Meltdown: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen

Historie:

Version 1 (2018-01-05 14:39)

Neues Advisory

Version 2 (2018-01-08 14:31)

Cisco gibt erstmals Produkte bekannt, die gegenüber den Schwachstellen verwundbar sind. Dazu gehören diverse Systeme der Unified Computing Service (UCS) B- und C-Serie sowie die 800 Industrial Integrated Service (ISR) Router. Updates für die Cisco UCS Server werden von Cisco zum 18. Februar 2018 angekündigt. Ausführliche Informationen zum Status der einzelnen Produkte und zugehörigen Sicherheitsupdates können dem Cisco Security Advisory entnommen werden (Referenz anbei).

Version 3 (2018-01-09 15:48)

Cisco gibt weitere Produkte bekannt, die anfällig für die Schwachstellen sind. Darunter ist auch der ASR 9000 XR 64-bit Series Router. Allerdings gibt es hierfür noch kein Sicherheitsupdate und keine Information, wann Cisco ein solches geplant hat.

Version 4 (2018-01-10 14:29)

Cisco informiert darüber, dass auch die Cisco Wide Area Application Services (WAAS) Appliances WAVE-274, WAVE-294, WAVE-474, WAVE-574, WAVE-594 und WAVE-694 mit WAAS Software Version 5.x und früher betroffen sind, wenn diese ein nicht vertrauenswürdiges System in einer Virtual Blade einsetzen. Kunden werden angewiesen, falls möglich auf Version 6.x zu migrieren. Diese Version ist nicht betroffen, da Virtual Blade Geräte dort nicht unterstützt werden. Für Version 5.x stehen noch keine Sicherheitsupdates zur Verfügung.

Version 5 (2018-01-11 14:53)

Im neuesten Update von Cisco Systems zu den Schwachstellen 'Spectre' und 'Meltdown' bestätigt der Hersteller die Verwundbarkeit von Netzwerkswitches der Produktserien Cisco Nexus 3000, 5000 und 9000 (ACI Mode), von Cisco UCS E-Series M3 und M4 Servern sowie weiteren Geräten und Cloud-Produkten. Die angestrebte Veröffentlichung von Patches für einige Blade- und Rack-Server aus der Cisco UCS Produktgruppe wurde um einen Monat auf den 19.01.2018 vorgezogen.

Version 6 (2018-01-12 13:48)

Cisco informiert im neuesten Update zu den Schwachstellen 'Spectre' und 'Meltdown' über die Verwundbarkeit von Cisco 1000 Series Connected Grid Routers (gemäß Bug ID CSCvh32516: Version 15.6(3.1n)M)), Cisco Industrial Ethernet 4000 Series Switches (Bug ID CSCvh32594: Version 15.6(1.6)) und Cisco Catalyst 9400 Series Switches (gemäß Bug ID CSCvh44165: Version 16.7.1). Es werden noch keine 'Fixed Releases' genannt.

Version 7 (2018-01-15 13:22)

Cisco gibt weitere Produkte aus der Cisco Aggregation Services Router (ASR)-Serie, Integrated Services Router (ISR)-Serie sowie Cloud Services Router (CSR)-Serie (Bug ID CSCvh32416: Versionen 16.5.1 und 16.7.1) bekannt, die verwundbar gegenüber 'Meltdown' und 'Spectre' sind. Für die Modelle werden noch keine 'Fixed Releases' genannt.

Version 8 (2018-01-16 12:43)

Cisco gibt weitere Cisco Nexus Switches (die Nexus 6000 und 7000 Series, Bug ID CSCvh32390) als verwundbar gegenüber 'Meltdown' und 'Spectre' an. Für diese Modelle werden noch keine 'Fixed Releases' genannt.

Version 9 (2018-01-18 11:52)

Cisco gibt die Produktreihe Nexus 3500 Series Switches als verwundbar gegenüber den Schwachstellen an (Bug ID CSCvh32393). Außerdem stellt Cisco erstmals Sicherheitsupdates für das Cisco Unified Computing System in den Versionen 3.1(2e) und 3.2(2e) zur Behebung der Schwachstellen zur Verfügung. Die Sicherheitsupdates gelten für die Produkte der USC B-Series M5 Blade Servers sowie UCS C-Series M5 Rack Servers (Bug ID CSCvh31577). Cisco erläutert, dass ein kompletter Fix Updates des Betriebssystems und des Microcodes erfordert. Das UCS BIOS Update stellt das Microcode Update zur Verfügung. Für OS Updates sollen sich Kunden an den betreffenden OS Anbieter wenden.

Version 10 (2018-01-19 16:06)

Cisco hat die Summary Section des Sicherheitshinweises cisco-sa-20180104-cpusidechannel um Informationen zum Update unterliegender Betriebssysteme und Hypervisors in virtuellen Umgebungen ergänzt.

Version 11 (2018-01-23 15:34)

Cisco identifiziert weitere Produkte als verwundbar gegenüber den Schwachstellen, unter anderem den Cisco (Virtual) Application Policy Infrastructure Controller (APIC) (siehe Bug ID CSCvh58549) sowie C880 M4 und M5 Server. Unter der Bug ID CSCvh58549 wird Cisco Application Policy Infrastructure Controller (APIC) Version 3.0(1k) als betroffen aufgeführt und der Status mit 'Fixed' angegeben. Unter 'Known Fixed Releases' wird auf 'Download Software for Cisco Application Policy Infrastructure Controller (APIC)' verwiesen. Für die Produkte UCS B-Series M4 Blade Servers und M5 Rack Servers wurden die Sicherheitsupdates zurückgezogen. Cisco empfiehlt auf die erneute Veröffentlichung der Sicherheitsupdates zu warten.

Version 12 (2018-01-25 13:45)

Cisco informiert in der heutigen Aktualisierung des Sicherheitshinweises cisco-sa-20180104-cpusidechannel darüber, dass aktuell keine Produkte hinsichtlich der Schwachstellen untersucht werden. Als verwundbar wurden zwischenzeitlich der Cisco Evolved Programmable Network Manager, Cisco c800 Series Integrated Services Routers (IOx Feature) sowie Cisco UCS B-Series M2 Blade Server und Cisco UCS S3260 M4 Storage Server identifiziert. Neue Informationen zu Sicherheitsupdates wurden nicht veröffentlicht.

Version 13 (2018-01-29 13:04)

Cisco informiert über weitere Produkte, welche als anfällig gegenüber den Schwachstellen identifiziert wurden. Darunter befinden sich die Cisco Catalyst 9300 und 9500 Series Switches. Neue Informationen zu Sicherheitsupdates wurden nicht veröffentlicht.

Version 14 (2018-01-31 12:12)

Cisco informiert darüber, dass Industrial Ethernet 4000 Series Switches entgegen den bisherigen Informationen nicht anfällig für die Schwachstellen sind.

Version 15 (2018-02-06 13:37)

Cisco hat erneut die List der von den Schwachstellen betroffenen Produkte erweitert und führt jetzt auch Cisco NCS 1000, 5000 und 5500 Series Routers als verwundbar auf. Sicherheitsupdates sind zum jetzigen Zeitpunkt weder verfügbar noch sind sie konkret angekündigt.

Version 16 (2018-02-09 12:37)

Cisco kündigt für verschiedene Cisco UCS Server ein Sicherheitsupdate für den 16.03.2018 an.

Version 17 (2018-03-06 13:13)

Cisco stellt Updates für Cisco Remote Expert Mobile auf Version 11.6(1)ES3 sowie 11.5(1)ES8 zur Behebung der Schwachstellen zur Verfügung. Für Cisco Metacloud steht Version 4.7, welche Meltdown & Spectre variant 1 adressiert, zur Verfügung (28-Feb-18); ein Update zur Behebung oder Mitigation von Spectre Variante 2 wird um den 18. April 2018 erwartet. Für die überwiegende Anzahl der Produkte stehen noch keine Informationen zur Verfügung, wann mit einem Update gerechnet werden kann.

Version 18 (2018-03-22 12:30)

Cisco stellt für Server der Unified Computing System (UCS) B- und C-Serie Sicherheitsupdates für März 2018 in Aussicht. Bei den Updates handelt es sich um BIOS-Updates, welche die Firmware der entsprechenden Produkte patcht. Cisco weist darauf hin, dass zusätzlich Softwareupdates auf Ebene des Betriebssystems notwendig sind, welche vom jeweiligen Distributor zu beziehen sind. Einige der Updates sind bereits unter der jeweiligen Bug ID (siehe Referenzen) einsehbar, andere werden als gefixt angegeben, haben jedoch noch keine öffentlich einsehbare URL zum Herunterladen der Software. Im Zweifelsfall sollte die Verfügbarkeit eines Updates im direkten Kontakt mit Cisco geklärt werden. Für die UCS B-Serie M3 Blade Server, UCS C-Serie M3 Rack Server stehen Sicherheitsupdates für Cisco UCS in den Versionen 3.2(3a), 3.2(2f) und 3.1(3f) zur Behebung der Schwachstellen zur Verfügung (siehe Bug ID CSCvg97965). Für die Produkte der C-Serie steht zusätzlich Cisco Integrated Management Controller (IMC) in der Version 3.0(4a) zur Behebung der Schwachstellen zur Verfügung. Für die UCS B-Serie M4 Blade Server (ohne B260 und B460), UCS C-Serie M4 Rack Server (ohne C460) sowie UCS S3260 M4 Storage Server stehen Sicherheitsupdates für Cisco UCS in den Versionen 3.2(3a), 3.2(2f) und 3.1(3f) zur Behebung der Schwachstellen zur Verfügung (siehe Bug ID CSCvg97979). Für die Produkte der C-Serie steht zusätzlich Cisco Integrated Management Controller (IMC) in der Version 3.0(4a) zur Behebung der Schwachstellen zur Verfügung. Für die UCS B260 und B460 M4 Blade Server sowie C460 M4 Rack Server stehen Sicherheitsupdates für Cisco UCS in den Versionen 3.2(3a), 3.2(2f) und 3.1(3f) zur Behebung der Schwachstellen zur Verfügung (siehe Bug ID CSCvg98015). Für UCS C460 M4 Rack Server steht zusätzlich Cisco Integrated Management Controller (IMC) in der Version 3.0(4a) zur Behebung der Schwachstellen zur Verfügung. Die UCS und IMC Versionen sind identisch zur Cisco Bug ID CSCvg97979, werden von Cisco allerdings getrennt angegeben. Für die UCS B-Serie M5 Blade Server sowie UCS C-Serie M5 Rack Server stehen Sicherheitsupdates für Cisco UCS in den Versionen 3.2(3a) und 3.2(2f) zur Behebung der Schwachstellen zur Verfügung (siehe Bug ID CSCvh31577). Für die Produkte der C-Serie steht zusätzlich Cisco Integrated Management Controller (IMC) in der Version 3.1(3a) zur Behebung der Schwachstellen zur Verfügung. Ferner stellt Cisco Updates für die UCS B- und C-Serie M2 Blade und Rack Server für April 2018 in Aussicht.

Version 19 (2018-04-10 14:12)

Für UCS M2 Server der B- und C-Serie stehen Sicherheitsupdates für Cisco UCS in der Version 2.2(8j) zur Behebung der Schwachstellen zur Verfügung. Für UCS M2 Rack Server der C-Serie stehen zusätzlich Sicherheitsupdates für Cisco IMC in den Versionen 1.4(3z08) und 1.5(9e) zur Behebung der Schwachstellen zur Verfügung (siehe Bug ID CSCvh31576). Für UCS M3 Blade Server der B-Serie steht zusätzlich ein Sicherheitsupdate für Cisco UCS in der Version 2.2(8j) zur Verfügung. Für UCS M3 Rack Server der C-Serie steht zusätzlich ein Sicherheitsupdate für Cisco IMC in der Version 2.0(9n) bereit (siehe Bug ID CSCvg97965). Für UCS M4 Server der B- und C-Serie stehen zusätzlich Sicherheitsupdates für Cisco UCS in der Version 2.2(8j) zur Verfügung. Für UCS M4 Rack Server der C-Serie steht zusätzlich ein Sicherheitsupdate für Cisco IMC in der Version 2.0(10i) zur Verfügung (siehe Bug ID CSCvg97979).

Version 20 (2018-05-24 18:00)

Für Cisco Unified Computing System (UCS) M2 Blade bzw. Rack Server der B- bzw. C-Serie stehen Sicherheitsupdates für Cisco UCS Manager 3.1 auf Version 3.1(3H) und 3.2 auf Version 3.2(3B) zur Behebung der Schwachstellen zur Verfügung.

Version 21 (2018-06-06 13:25)

Für Cisco 4000 Series Integrated Services Routers, Cisco ASR 1000 / 1001-X, -HX / 1002-X, -HX Series Aggregation Services Router sowie Cisco Cloud Services Router 1000V Series (IOS XE Open Service Containers) wird die IOS XE Version 16.3.7 als Fixed Release für Juni 2018 angekündigt.

Version 22 (2018-06-11 14:14)

Für die Cisco Catalyst 9300 / 9400 / 9500 Series Switches (Open Service Container oder IOx Feature) werden die IOS XE Versionen 16.6.3, 16.7.2, 16.8.1 und 16.9.1 als Fixed Release für Juni 2018 angekündigt (siehe Cisco Bug IDs CSCvh44164, CSCvh44165 und CSCvh44166).

Version 23 (2018-06-14 12:49)

Für Cisco Wide Area Application Services (WAAS) ist ein Update für Version 6.x verfügbar (siehe Cisco Bug ID CSCvh49646) und für Cisco Application Policy Infrastructure Controller (APIC) hat der Hersteller nun die Version 3.2(1l) als Sicherheitsupdate bereitgestellt (siehe Cisco Bug ID CSCvh58549).

Version 24 (2018-06-27 17:09)

Cisco stellt für eine Reihe von Produkten Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung: Für Cloud Services Platform 2100 die Version 2.2.(5) (Cisco Bug ID CSCvh32644), für (Virtual) Application Policy Infrastructure Controller (APIC) die zusätzliche Version 3.2(0.85a), Die folgenden Cisco-Produkte sind laut Cisco verwundbar, allerdings stehen keine Informationen zu den gefixten Releases zur Verfügung. Nutzern wird daher empfohlen direkt über die jeweilige Cisco Bug ID im Cisco Software Download Center nach einem entsprechenden Release zu suchen: Für 800 Industrial Integrated Services Routers ISR (IOx feature) und Connected Grid Routers CGR 1000 Compute Module (IOx feature) die Version 15.6(3.1n)M (Cisco Bug ID CSCvh31418), für Aggegation Services Routers ASR 9000 XR 64-bit, Network Convergence System NCS Routers 1000, 5000 und 5500 und XRv 9000 Routers die Versionen 6.1.4.BASE, 6.2.3.BASE, 6.3.2.BASE (Cisco Bug ID CSCvh32429), für Nexus 3000 und 9000 (Standalone IOx Feature) Switches die Version 7.0(3)I7(2) (Cisco Bug ID CSCvh32392), für Nexus 5000 Switches (OAC Feature) die Versionen 7.3(2)N1(0.244) und 7.3(2)N1(0.31) (Cisco Bug ID CSCvh32394), für Nexus 6000 und 7000 Switches (OAC Feature) die Version 8.2(1) (Cisco Bug ID CSCvh32390), für Cisco Enterprise Network Compute System 5100 / 5400 Series Servers (Cisco Bug ID CSCvh48274), für c800 Series Integrated Services Routers ISR (IOx feature), für c800 Series Integrated Services Routers ISR (IOx feature) die Version 15.7(3.1b)M (Cisco Bug ID CSCvh51582) und für Evolved Programmable Network Manager die Versionen 2.1(3) und 2.2 (Cisco Bug ID CSCvh64005). Das angekündigte Release IOS XE Version 16.3.7 für Cisco 4000 Series Integrated Services Routers, Cisco ASR 1000 / 1001-X, -HX / 1002-X, -HX Series Aggregation Services Router sowie Cisco Cloud Services Router 1000V Series (IOS XE Open Service Containers) steht nun zum Download bereit, adressiert aber nur die Schwachstelle CVE-2017-5754 (Meldown) (Cisco Bug ID CSCvh32416). Cisco gibt außerdem bekannt, dass für Nexus 3000 Switches kein Sicherheitsupdate geplant ist.

Version 25 (2018-06-28 13:34)

Cisco stellt BIOS-Sicherheitsupdates für die Unified Computing System (UCS) E Series M2 Server auf Version 1.5.0.7 (single-wide) bzw. 2.5.0.5 (double-wide) zur Behebung der Schwachstellen zur Verfügung. Unter der korrespondierenden Cisco Bug ID CSCvh48274 gibt Cisco die Unified Computing System Version 3.2(4) als verwundbar an, stellt jedoch keine Informationen über ein gefixtes Software-Release zur Verfügung. Nutzern der Hardware wird empfohlen direkt im Cisco Software Download Center unter der entsprechenden Bug ID nach einem Sicherheitsupdate zu suchen. Dies betrifft auch Nutzer der Hardware UCS E M3 Server, für die Cisco ebenfalls auf die Bug ID CSCvh48274 verweist.

Betroffene Software

Netzwerk
Server
Sicherheit
Systemsoftware
Virtualisierung

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Die unter dem Namen 'Spectre' und 'Meltdown' bekannten Mikroprozessor-Schwachstellen betreffen wahrscheinlich auch Produkte des Herstellers Cisco Systems. Der Hersteller informiert darüber, dass die Schwachstellen von einem lokalen, nicht authentisierten Angreifer ausgenutzt werden können, um Informationen auszuspähen, wenn es diesem gelingt beliebigen Programmcode auf betroffenen Geräten zur Ausführung zu bringen. Cisco bezeichnet die eigenen Produkte als 'geschlossene Systeme', weist aber darauf hin, dass die Kombination aus verwendeter CPU und Basisbetriebssystem in den eigenen Produkten möglicherweise Angriffe zulässt. Gleiches gilt für Cisco-Produkte, die als virtuelle Maschinen ausgeliefert und eingesetzt werden.

Cisco hat die Untersuchungen zu den Schwachstellen begonnen und wird mit Updates auf den referenzierten Sicherheitshinweis über verwundbare Produkte und eventuelle Sicherheitsupdates informieren. Bisher sind keine verwundbaren Produkte bekannt.

Schwachstellen:

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5753

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5754

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.