2018-1323: Intel Microcode: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2018-07-09 12:38)

Neues Advisory

Version 2 (2018-07-12 14:33)

Für SUSE Linux Enterprise Module for Basesystem 15, SUSE OpenStack Cloud 7, SUSE Enterprise Storage 4, SUSE Linux Enterprise Server for SAP 12 SP1 und 12 SP2, SUSE Linux Enterprise Server 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3 sowie für SUSE Linux Enterprise Desktop 12 SP3 stehen Sicherheitsupdates bereit, mit denen der Intel CPU Microcode 20180703 zur Verfügung gestellt wird.

Version 3 (2018-07-27 11:46)

Für Debian Jessie (LTS) steht eine neue Version von 'intel-microcode' als Sicherheitsupdate zur Behebung der Schwachstellen bereit. Benutzer, die das aktuelle Paket bereits über 'jessie-backports-sloppy' bezogen haben, brauchen dieses Sicherheitsupdate nicht zusätzlich zu installieren.

Version 4 (2018-07-27 15:16)

Für SUSE Linux Enterprise Server 11 SP3 LTSS und 11 SP4 stehen Sicherheitsupdates für 'microcode_ctl' bereit, mit denen der Intel CPU Microcode auf Version 20180703 aktualisiert wird.

Version 5 (2018-08-17 13:33)

Für Debian Stretch (stable) steht eine neue Version von 'intel-microcode' als Sicherheitsupdate zur Behebung der Schwachstellen bereit.

Version 6 (2018-10-19 16:09)

SUSE stellt für SUSE Linux Enterprise Server 12 SP2 BCL ein Sicherheitsupdate von 'ucode-intel' in Version '20180703' zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Zwei Schwachstellen in der Implementierung der Spekulativen Instruktionsausführung in modernen Mikroprozessoren ermöglichen einem lokalen, einfach authentifizierten Angreifer das Ausspähen sensibler Informationen aus dem Speicher. Die Schwachstelle CVE-2018-3639 wird auch mit dem Namen 'Spectre-NG', 'Spectre Variant 4' bzw. 'Side-Channel Variant 4' bezeichnet und deckt den Fall des 'Speculative Storage Bypass' (SSB) ab. Die Schwachstelle CVE-2018-3640 wird auch mit dem Namen 'Spectre Variant 3a' bzw. 'Side-Channel Variant 3a' bezeichnet und deckt den Fall des 'Rouge System Register Read' (RSRE) ab.

Intel stellt für verschiedene Linux-Systeme das Linux Processor Microcode Data File in Version 20180703 bereit, um CVE-2018-3640 (Spectre v3a) zu beheben und CVE-2018-3639 (Spectre v4) weiter zu mitigieren.

Für openSUSE Leap 15.0 und 42.3 steht ein Sicherheitsupdate für 'ucode-intel' bereit, mit dem die Änderungen umgesetzt werden.

Schwachstellen:

CVE-2018-3639

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2018-3640

Schwachstelle in Implementierung des spekulativen Zugriffs auf Systemregister ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.