DFN-CERT

Advisory-Archiv

2018-1651: Intel Microcode: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2018-08-16 19:14)
Neues Advisory
Version 2 (2018-08-17 15:20)
Für openSUSE Leap 42.3 und openSUSE Leap 15.0 stehen Sicherheitsupdates für 'ucode-intel' bereit, mit denen der Intel CPU Microcode auf die Version 20180807 aktualisiert wird.
Version 3 (2018-08-28 12:10)
Für Ubuntu 18.04 LTS, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für das Paket 'intel-microcode' bereit, mit denen der Microcode für Intel CPUs auf die Version 20180807 aktualisiert wird.
Version 4 (2018-10-19 15:29)
Für SUSE Linux Enterprise Server 12 SP2 BCL steht ein Sicherheitsupdate für das Paket 'ucode-intel' auf Version 20180807 bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Mehrere Schwachstellen in der Implementierung der spekulativen Instruktionsausführung in modernen Mikroprozessoren ermöglichen einem lokalen, auch nicht authentifizierten Angreifer das Ausspähen sensibler Informationen aus dem Speicher. Die Schwachstelle CVE-2018-3639 wird auch mit dem Namen 'Spectre-NG', 'Spectre Variant 4' bzw. 'Side-Channel Variant 4' bezeichnet und deckt den Fall des 'Speculative Storage Bypass' (SSB) ab. Die Schwachstelle CVE-2018-3640 wird auch mit dem Namen 'Spectre Variant 3a' bzw. 'Side-Channel Variant 3a' bezeichnet und deckt den Fall des 'Rouge System Register Read' (RSRE) ab. Die Schwachstelle CVE-2018-3646 ist unter dem Namen 'L1 Terminal Fault' (L1TF) bekannt.

Für SUSE Linux Enterprise Module for Basesystem 15, SUSE OpenStack Cloud 7, SUSE Enterprise Storage 4 sowie die SUSE Linux Enterprise Produkte Server for SAP 12 SP1 und 12 SP2, Server 11 SP3 LTSS, 11 SP4, 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3 und Desktop 12 SP3 sowie SUSE CaaS Platform 3.0 stehen Sicherheitsupdates für 'ucode-intel' bereit, mit denen der Intel CPU Microcode auf die Version 20180807 aktualisiert wird.

Schwachstellen:

CVE-2018-3639

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2018-3640

Schwachstelle in Implementierung des spekulativen Zugriffs auf Systemregister ermöglicht Ausspähen von Informationen

CVE-2018-3646

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.