DFN-CERT

Advisory-Archiv

2018-2338: Simultaneous Multi-Threading (SMT): Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-11-14 16:57)
Neues Advisory
Version 2 (2019-03-13 17:04)
Für die Red Hat Enterprise Linux 7 Produkte Server, for ARM, for Scientific Computing, Workstation und Desktop sowie Server AUS, EUS und TUS 7.6 sowie EUS Compute Node 7.6 stehen Sicherheitsupdates für OpenSSL zur Behebung der Schwachstelle zur Verfügung.
Version 3 (2019-03-13 19:03)
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für OpenSSL zur Behebung der Schwachstelle zur Verfügung.
Version 4 (2019-03-14 11:50)
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für OpenSSL zur Verfügung. In der dazugehörigen Sicherheitsmeldung listet Oracle alle seit Oktober 1999 durchgeführten Änderungen, inklusive der behobenen Schwachstellen auf. Die letzte in der Liste der korrigierten Schwachstellen ist die hier referenzierte.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Apple
Linux
Microsoft
Oracle

Beschreibung:

Ein lokaler, einfach authentisierter Angreifer kann mit Hilfe eines speziell präparierten Prozesses und ausreichend Ressourcen auf betroffenen Systemen während der Erstellung von ECDSA-Signaturen einen Timing-Angriff durchführen und dadurch den privaten Schlüssel in Erfahrung bringen.

Das OpenSSL-Projekt bestätigt die Schwachstelle, die OpenSSL 1.1.0 und 1.0.2 betrifft, und gibt an, dass diese mit der Veröffentlichung von OpenSSL 1.1.0i behoben wurde. Ein Sicherheitsupdate zur Behebung dieser Schwachstelle für den Versionszweig 1.0.2 ist nicht geplant, es steht aber ein Quellcode-Patch bereit.

Der Hardwarehersteller Intel, welche die anfällige Technik in verschiedenen Prozessoren einsetzt, hat bisher nicht auf die Veröffentlichung der Schwachstelle reagiert.

Schwachstellen:

CVE-2018-5407

Schwachstelle in Simultaneous Multi-Threading (SMT) ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.