DFN-CERT

Advisory-Archiv

2018-1622: VMware Virtual Appliances, L1 Terminal Fault (L1TF): Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-08-24 16:28)
Neues Advisory
Version 2 (2018-11-30 16:21)
Der Hersteller stellt mit der Aktualisierung des Sicherheitshinweises VMSA-2018-0021.1 unter anderem die vCenter Server Appliance Versionen 6.5u2d und 6.7u1 als Sicherheitsupdates zur Verfügung.
Version 3 (2019-08-02 12:43)
VMware hat den referenzierten Sicherheitshinweis aktualisiert, da mittlerweile für die vCenter Server Appliance 6.0 die Version 6.0u3i und für vSphere Data Protection 6.x die Version 6.1.11 als Sicherheitsupdate zur Verfügung steht.

Betroffene Software

Datensicherung
Netzwerk
Virtualisierung

Betroffene Plattformen

VMware
Hypervisor

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann diese Schwachstelle über einen Terminal Seitenfehler (Terminal Page Fault) ausnutzen, um in einem Seitenkanalangriff (Side-Channel Analysis) unautorisiert Informationen aus dem L1 Data Cache auszuspähen.

Die Schwachstelle betrifft auch eine Reihe von VMware Produkten, unter anderem vCenter Server (vCSA) 6.0, 6.5 und 6.7 und vSphere Data Protection (VDP) 6.x. Bislang stellt der Hersteller für diese noch keine Sicherheitsupdates bereit. Für vCenter Server wird auf eine Mitigation / Workaround verwiesenen (siehe 'vCenter Server Appliance (and PSC) 6.x Workaround for vulnerabilities which require local access (52312)'), während für vSphere Data Protection keine Abwehrmaßnahmen beschrieben werden, bis ein Patch in Zukunft zur Verfügung gestellt werden soll. Einen Zeithorizont für die Patches hat der Hersteller ebenfalls noch nicht genannt.

Schwachstellen:

CVE-2018-3620

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.