2018-0044: Linux-Kernel, Spectre und Meltdown: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen
Historie:
- Version 1 (2018-01-08 15:43)
- Neues Advisory
- Version 2 (2018-01-09 15:54)
- Oracle hat für die Distributionen Oracle Linux 6 und 7 für den Unbreakable Enterprise Kernel ein erneutes Sicherheitsupdate herausgegeben, mit dem neben einem erneuten Patch für die Schwachstelle CVE-2017-5715 (Spectre) nun auch ein Update für die Schwachstelle CVE-2017-5754 (Meltdown) enthalten ist. Diese ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen und die Ausführung beliebigen Programmcodes mit den Rechten des Systems.
- Version 3 (2018-01-15 16:09)
- Für Oracle Linux 6 (x86_64) und 7 (x86_64) stehen für den Unbreakable Enterprise Kernel nochmals Sicherheitsupdates für den Linux-Kernel 4.1.12 bereit, um die beiden Schwachstellen CVE-2017-5715 (Spectre) und CVE-2017-5754 (Meltdown) zu adressieren.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Die unter den Namen 'Spectre' und 'Meltdown' bekannt gewordenen Mikroprozessor-Schwachstellen betreffen den Linux-Kernel in allen aktuellen Distributionen. Die 'Spectre'-Schwachstellen ermöglichen einem nicht authentisierten Angreifer im benachbarten Netzwerk das Ausspähen von Informationen aus dem Kernelspeicher, welche sich für weitere Angriffe verwenden lassen. Die 'Meltdown'-Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen und die Ausführung beliebigen Programmcodes mit den Rechten des Systems.
Die Untersuchungen zu den Schwachstellen sind noch nicht abgeschlossen. Aufgrund der Komplexität der Schwachstellen und der zur Behebung notwendigen tiefen Eingriffe in bestehende Systemarchitekturen ist davon auszugehen, dass die hier genannten Sicherheitsupdates nicht alle Sicherheitsprobleme im Kontext der Schwachstellen beheben, sondern jeweils nur den zum Zeitpunkt der Veröffentlichung bekannten Status adressieren.
Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel 4.1.12 zur Verfügung, mit denen die beiden 'Spectre'-Schwachstellen adressiert werden.
Schwachstellen:
CVE-2017-5715
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2017-5753
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2017-5754
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.