2019-0969: Intel Prozessoren, Intel Microcode: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2019-05-15 20:08)

Neues Advisory

Version 2 (2019-05-16 12:21)

Debian stellt für Debian Jessie (LTS) Sicherheitsupdates für den Linux-Kernel und den Intel Microcode zur Verfügung. Sicherheitsupdates für 'libvirt' stehen für Ubuntu Linux ab Ubuntu 16.04 LTS bereit. Für Oracle Linux 7 wurden mittlerweile weitere Sicherheitsupdates für den Kernel, libvirt und qemu-kvm veröffentlicht. Für Fedora 28, 29 und 30 stehen Sicherheitsupdate zur Behebung der Schwachstellen in libvirt und qemu-kvm im Status 'testing' bereit. Citrix informiert darüber, dass Citrix Hypervisor (XenServer) von den Schwachstellen betroffen ist und stellt Citrix XenServer 7.1 LTSR CU2 als Sicherheitsupdate bereit. Updates für Citrix Hypervisor 8.0 sowie Citrix XenServer 7.6 und 7.0 werden zeitnah veröffentlicht. Auch hier sollen zur vollständigen Mitigation die Updates für den CPU Microcode eingespielt und das CPU Hyper-Threading deaktiviert werden.

Version 3 (2019-05-16 13:08)

Für Fedora 29 und 30 stehen Sicherheitsupdates für den Intel Microcode auf Release 20190514 im Status 'stable' bereit.

Version 4 (2019-05-16 18:47)

openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0 Sicherheitsupdates für 'ucode-intel' sowie für 'xen'.

Version 5 (2019-05-17 10:09)

Canonical veröffentlicht für Ubuntu Linux 14.04 LTS (ESM) ein Sicherheitsupdate für 'libvirt', mit dem die Schwachstellen adressiert werden.

Version 6 (2019-05-20 18:09)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'ucode-intel' bereit, welches das Intel QSR 2019.1 Microcode Release beinhaltet, um die Schwachstellen zu beheben.

Version 7 (2019-05-21 12:36)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'qemu' zur Behebung der Schwachstellen bereit.

Version 8 (2019-05-21 16:04)

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1 und 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS, 12 SP2 BCL, 12 SP3 und 12 SP4, Desktop 12 SP3 und 12 SP4 sowie SUSE OpenStack Cloud 7, SUSE Container-as-a-Service (CaaS) 3.0 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'ucode-intel' bereit, welche das Intel QSR 2019.1 Microcode Release beinhalten, um die Schwachstellen zu beheben.

Version 9 (2019-05-21 16:06)

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1 und 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS, 12 SP2 BCL, 12 SP3 und 12 SP4, Desktop 12 SP3 und 12 SP4 sowie SUSE OpenStack Cloud 7, SUSE Container-as-a-Service (CaaS) 3.0 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'ucode-intel' bereit, welche das Intel QSR 2019.1 Microcode Release beinhalten, um die Schwachstellen zu beheben.

Version 10 (2019-05-23 13:21)

Canonical stellt für Ubuntu 19.04, Ubuntu 18.10, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 ESM nun das zu USN-3977-1 korrespondierende Intel Microcode Update für Intel Cherry Trail und Bay Trail Prozssor-Familien zur Verfügung. Für SUSE Linux Enterprise Module for Basesystem 15 steht ein Intel CPU Microcode auf das offizielle QSR 2019.1 Microcode Release bereit.

Version 11 (2019-05-24 16:13)

Für Oracle Linux 5 und 6 stehen jetzt korrespondierend zur Meldung ELSA-2019-4637 Ksplice-Updates für den Unbreakable Enterprise Kernel (UEKR2) 2.6.39 und für Oracle Linux 7 korrespondierend zu der Meldung ELSA-2019-4628 Ksplice-Updates für den UEKR5 4.14.35 zur Behebung der Schwachstellen bereit.

Version 12 (2019-05-27 15:22)

Für SUSE Linux Enterprise Desktop, Server und Software Development Kit 12 SP4 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'libvirt' adressiert werden. Durch diese Updates wird eine Möglichkeit zur Mitigation über das neue 'md-clear' CPU-Flag eingeführt.

Version 13 (2019-05-28 11:19)

Für die SUSE Linux Enterprise Module für Basesystem, Server Applications und Open Buildservice Development Tools 15 stehen ebenfalls Sicherheitsupdates für 'libvirt' bereit, mit denen das neue 'md-clear' CPU-Flag eingeführt wird.

Version 14 (2019-05-28 15:00)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'ucode-intel' bereit, mit dem der Intel Microcode auf das QSR 2019.1 Release aktualisiert wird.

Version 15 (2019-05-29 12:06)

Für OpenBSD 6.4 und 6.5 stehen Kernelpatches zur Mitigation der MDS-Schwachstellen bereit.

Version 16 (2019-06-03 12:33)

Für Oracle Linux 6 und 7 stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel bereit, mit denen ein Problem im Kontext der Schwachstellen CVE-2018-12127 und CVE-2018-12130 adressiert wird.

Version 17 (2019-06-03 12:56)

Für Oracle VM 3.4 steht ein Sicherheitsupdate für den Unbreakable Enterprise Kernel bereit, mit dem ebenfalls das Problem im Kontext der Schwachstellen CVE-2018-12127 und CVE-2018-12130 adressiert wird.

Version 18 (2019-06-04 11:16)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'libvirt' adressiert werden. Durch diese Updates wird eine Möglichkeit zur Mitigation über das neue 'md-clear' CPU-Flag eingeführt.

Version 19 (2019-06-06 14:27)

SUSE veröffentlicht für SUSE Linux Enterprise Server 12 LTSS ein Sicherheitsupdate für 'libvirt' mit dem ein 'md-clear' CPU-Flag eingeführt wird, welches gesetzt ist, wenn der Mikrocode die Möglichkeit zum Auslösen einer Bereinigung (Flush) verschiedener CPU Puffer bereitstellt.

Version 20 (2019-06-11 12:29)

SUSE veröffentlicht für SUSE Linux Enterprise Server for SAP 12 SP1 und Server 12 SP1 LTSS Sicherheitsupdates für 'libvirt' mit dem ein 'md-clear' CPU-Flag eingeführt wird, welches gesetzt ist, wenn der Mikrocode die Möglichkeit zum Auslösen einer Bereinigung (Flush) verschiedener CPU Puffer bereitstellt.

Version 21 (2019-06-11 13:05)

Für Oracle VM 3.4 steht jetzt korrespondierend zur Meldung OVMSA-2019-0016 ein Ksplice-Update für 'xen' zur Behebung der Schwachstellen bereit.

Version 22 (2019-06-13 12:10)

Mit der Veröffentlichung von NetBSD 8.1 wurden auch die MDS-Schwachstellen adressiert.

Version 23 (2019-06-19 12:00)

Für die SUSE Linux Enterprise Produkte Desktop, Server und Software Development Kit 12 SP3 stehen Sicherheitsupdates für 'libvirt' bereit.

Version 24 (2019-06-21 11:23)

Intel veröffentlicht mit dem microcode-20190618 Release den Microcode für einige Sandy Bridge-CPUs (Intel Xeon E5 und Core-X), die bisher nicht berücksichtigt wurden. Der aktualisierte Microcode steht für Debian Jessie (LTS) und für alle aktuell unterstützten Versionen von Ubuntu Linux bereit.

Version 25 (2019-06-24 12:12)

Für Oracle VM 3.4 steht ein Update für den Intel-Microcode in 'microcode_ctl' bereit.

Version 26 (2019-07-10 19:19)

IBM hat für etlicher seiner Systeme ebenfalls Unified Extensible Firmware Interface (UEFI) Updates veröffentlicht, um die Intel Microarchitectural Data Sampling (MDS) Side Channel Schwachstellen zu adressieren.

Version 27 (2019-07-22 14:50)

Für SUSE Linux Enterprise Module for Basesystem 15 und 15 SP1 stehen Sicherheitsupdates für 'ucode-intel' bereit, welches das Intel QSR 2019.1 Microcode Release beinhaltet, um die Schwachstellen zu beheben.

Version 28 (2019-07-23 17:56)

Für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8, SUSE Enterprise Storage 4 und 5, SUSE CaaS Platform 3.0, HPE Helion Openstack 8, SUSE Linux Enterprise Desktop 12 SP4 und SP5 sowie verschiedene Patchversionen und Varianten von SUSE Linux Enterprise Server 12 stehen Sicherheitsupdates für 'ucode-intel' bereit, welches das Intel QSR 2019.1 Microcode Release beinhaltet, um die Schwachstellen zu beheben.

Version 29 (2019-07-23 18:05)

Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein Sicherheitsupdate für 'microcode_ctl' zur Verfügung.

Version 30 (2019-07-25 12:59)

Für openSUSE Leap 15.0 und 15.1 stehen Sicherheitsupdates für 'ucode-intel' bereit, welches das Intel QSR 2019.1 Microcode Release beinhaltet, um die Schwachstellen zu beheben.

Version 31 (2019-08-05 14:49)

Für Oracle Linux 5 steht ein Sicherheitsupdate für den Linux-Kernel 2.6.18 bereit, um die Schwachstellen zu beheben.

Version 32 (2019-08-06 17:16)

VMware aktualisiert seinen Sicherheitshinweis in VMSA-2019-0008.1 und stellt Betriebssystem-spezifische Mitigationen bereit (siehe Punkt 3c, Tabelle), die in VCenter Server Appliance 6.7u2c und vCenter Server Appliance 6.5u3 enthalten sind.

Version 33 (2019-08-06 17:43)

Oracle veröffentlicht für Oracle Linux 8 (aarch64, x86_64) Sicherheitsupdates für den Linux-Kernel 4.18.0-80.1.2_0 zur Mitigation der Schwachstellen. Zeitgleich veröffentlicht Oracle ein weiteres Update für diesen Linux-Kernel Versionszweig (Update 4.18.0-80.4.2_0) mit der weitere Schwachstellen behoben werden. Dieses Update wird über eine gesonderte Meldung verteilt.

Version 34 (2019-10-11 14:22)

Für den Oracle Enhanced RHCK 5 stehen jetzt korrespondierend zur Meldung ELSA-2019-4732 Ksplice-Updates zur Behebung der Schwachstellen zur Verfügung.

Version 35 (2019-11-18 12:56)

VMware aktualisiert die referenzierte Sicherheitsmeldung VMware Security Advisory VMSA-2019-0008, um über die Verfügbarkeit neuer Sicherheitsupdates für ESXi 6.7, Workstation 15 und Fusion 11 zu informieren. Über die neuen Patches wird jeweils eine Regression behoben, durch die die Hypervisor-spezifischen Mitigationen für L1TF (CVE-2018-3646) und MDS (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091) ineffektiv wurden.

Betroffene Software

Netzwerk
Systemsoftware
Virtualisierung

Betroffene Plattformen

Hardware
Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
UNIX
VMware
Virtualisierung
Hypervisor

Beschreibung:

Mehrere Schwachstellen in der Mikroarchitektur von Intel-Prozessoren ermöglichen einem lokalen, einfach authentifizierten Angreifer das Ausspähen von Informationen aus dem Zwischenspeicher (Cache) betroffener Prozessoren über Prozess- und Container-Grenzen hinweg (Microarchitectural Data Sampling, MDS). Als mögliche Angriffsszenarien werden Angriffe lokaler Nutzer gegen den Host und andere lokale Prozesse, Angriffe von Gastsystemen oder Containern gegen andere Gastsysteme oder Container und den Host sowie Angriffe vom Host gegen Gastsysteme genannt.

Die Informationen zu den Schwachstellen wurden zeitgleich vom Hardwarehersteller Intel, den Entdeckern der Schwachstellen und betroffenen Distributionen und Hypervisoren veröffentlicht. Die Schwachstellen betreffen vermutlich alle Intel-Systeme seit 2011, bei denen die leistungssteigernde Technik Hyper-Threading (HT) aktiviert ist. Andere Hersteller, die ähnliche Techniken einsetzen (Simultaneous Multi Threading, SMT), stehen aktuell nicht im Fokus der Veröffentlichungen.

Zur Mitigation müssen die jeweiligen Kernel-Patches für MDS eingespielt und der aktuelle Microcode für Intel-Prozessoren verwendet werden. Eine vollständige Mitigation erscheint aktuell nur möglich, wenn Hyper-Threading auf Kosten der Leistung betroffener Prozessoren vollständig deaktiviert wird. Generell wird empfohlen, für vertrauenswürdigen Programmcode und nicht vertrauenswürdigen Programmcode physisch getrennte Systeme einzusetzen.

Intel stellt das quelloffene 'microcode-20190514' Release als Microcode-Sicherheitsupdate für Linux-Distributionen bereit und veröffentlicht Informationen zu allen betroffenen Produkten (Referenz anbei, PDF).

Die Schwachstellen werden mit zahlreichen Sicherheitsupdates für verschiedene Linux-Distributionen adressiert und betreffen hier unter anderem den Linux-Kernel sowie die Virtualisierungslösungen Kernel Virtual Machine (KVM), Xen, QEMU, libvirt, Vdsm und verschiedene Produkte von VMware. Die Distributoren informieren zum Teil selbst detailliert über die zur Verfügung stehenden Patches (Referenzen als zusätzliche Informationen anbei).

Im Einzelnen stehen bisher Sicherheitsupdates für den Linux-Kernel in Debian Stretch (stable), Oracle Linux 5, 6 und 7, Oracle VM 3.4, Red Hat Enterprise Linux 6.6 (AUS), 7.2, 7.3, 7.5 und 8 (hier auch für den Echtzeitkernel, kernel-rt) sowie Ubuntu Linux ab 12.04 ESM bereit.

Microcode-Updates sind bereits für Debian Stretch, SUSE Linux Enterprise 11, 12 und 15 sowie alle aktuellen Ubuntu Linux Distributionen verfügbar.

Updates für Xen werden für die einzelnen Versionszweige vom Xen Project selbst bereitgestellt und stehen für Fedora 29 und 30, Oracle VM 3.4 und SUSE Linux Enterprise 15 zur Verfügung.

QEMU wird für SUSE Linux Enterprise 12 direkt und für Oracle Linux 6, Red Hat Enterprise Linux 6, 6.5 AUS, 6.6 AUS, 7, 7.2, 7.4 EUS und 7.5 EUS sowie Red Hat Virtualization 4 und Red Hat OpenStack 9.0, 10.0 und 13.0 über neue 'qemu-kvm' oder 'qemu-kvm-rhev'-Pakete behandelt.

Weitere Updates stehen für libvirt bereit, hier können Benutzer von Oracle Linux 6, Red Hat Enterprise Linux 6, 6.5 AUS, 6.6 AUS, 7.2, 7.3, 7.4 EUS und 7.5 EUS bereits handeln.

Für Red Hat Enterprise Virtualization 4, 4.2 und 4.3 stehen zusätzliche Updates für 'rhvm-appliance', 'rhvm-setup-plugins' und 'vdsm' zur Verfügung.

VMware kündigt in einem Sicherheitshinweis Updates an, die Hypervisor-spezifische Mitigationen, Hypervisor-unterstützte Gast-Mitigationen und Betriebssystemspezifische Mitigationen umsetzen. Für letztere stehen die Updates noch aus bzw. sind vom eingesetzten Betriebssystem abhängig. Bereits verfügbar sind Mitigationen über die Sicherheitsupdates vCenter Server 6.7 U2a, 6.5 U2g und 6.0 U3i, ESXi ESXi670-201905401-BG, ESXi670-201905402-BG, ESXi670-201905403-BG, ESXi650-201905401-BG, ESXi650-201905402-BG, ESXi600-201905401-BG und ESXi600-201905402-BG sowie VMware Workstation 15.1.0 und VMware Fusion 11.1.0.

Für aktuelle Versionszweige von FreeBSD stehen ebenfalls Sicherheitsupdates bereit.

Apple hat die Schwachstellen für macOS Mojave im gestrigen Sicherheitsupdate 10.14.5 adressiert und stellt zusätzliche Informationen zu Mitigationen bereit.

Microsoft stellt für Microsoft Windows Sicherheitsupdates bereit, gibt aber an, dass der Microcode für einige Versionen von Windows 10 sowie Windows Server Version 1803 und 2019 noch nicht zur Verfügung steht.

Weitere Sicherheitsupdates, die neben 'RIDL' und 'Fallout' weitere Schwachstellen adressieren, werden in gesonderten Schwachstellenmeldungen behandelt.

Schwachstellen:

CVE-2018-12126

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2018-12127

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2018-12130

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2019-11091

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.