2019-2370: Linux-Kernel, Intel Prozessoren: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2019-11-13 15:51)

Neues Advisory

Version 2 (2019-11-18 13:25)

Oracle veröffentlicht korrespondierend zur Meldung ELSA-2019-4838 Ksplice-Updates für den Unbreakable Enterprise Kernel (UEKR3) 3.8.13 für Oracle Linux 6 und 7.

Version 3 (2020-01-29 18:14)

Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für 'virt:rhel' und 'virt-devel:rhel' Module zur Behebung der Schwachstelle bereit. Die Updates stehen unter anderem für Red Hat Enterprise Linux 8 und Red Hat Enterprise Linux - Extended Update Support 8.1 sowie Red Hat CodeReady Linux Builder 8 und Red Hat CodeReady Linux Builder - Extended Update Support 8.1 jeweils für x86_64- und ARM 64-Architekturen zur Verfügung.

Version 4 (2020-02-18 10:42)

Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'virt:ol' behoben wird.

Version 5 (2020-02-20 12:55)

Zur Behebung der Schwachstelle stehen Sicherheitsupdates für die Module 'virt:8.1' und 'virt-devel:8.1' für Advanced Virtualization for Red Hat Enterprise Linux 8.1.0 zur Verfügung.

Version 6 (2020-03-04 10:59)

Für Red Hat Enterprise Linux 7.6 Extended Update Support steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'qemu-kvm' adressiert wird.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Hardware
Linux
Oracle
Virtualisierung
Hypervisor

Beschreibung:

Eine Schwachstelle in der Mikroarchitektur von Intel-Prozessoren ermöglicht einem lokalen Angreifer mit den üblichen Benutzerrechten das Ausspähen von Informationen aus dem Zwischenspeicher (Cache) betroffener Prozessoren über Prozess- und Container-Grenzen hinweg (Microarchitectural Data Sampling, MDS).

Die Informationen zu der Schwachstelle wurden zeitgleich vom Hardware-Hersteller Intel, den Entdeckern der Schwachstelle und betroffenen Distributionen und Hypervisoren veröffentlicht. Intel war diese Schwachstelle schon seit der Veröffentlichung der letzten MDS-Schwachstellen bekannt, jedoch wurde diese im Zuge des damaligen Microcode-Sicherheitsupdates ('microcode-20190514') nicht behoben. Die Schwachstelle betrifft vermutlich alle Intel-Systeme seit 2014, da die verwundbare Technologie zu diesem Zeitpunkt eingeführt wurde.

Zur Mitigation müssen die jeweiligen Kernel-Patches für TAA eingespielt und der aktuelle Microcode für Intel-Prozessoren verwendet werden. Eine Mitigation bei VMs ist nur möglich, wenn der Host über das Microcode-Sicherheitsupdate und die jeweiligen Kernel-Patches verfügt oder TSX auf dem Host deaktiviert ist.

Intel stellt das quelloffene 'microcode-20191112' Release als Microcode-Sicherheitsupdate für Linux-Distributionen bereit.

Für Oracle Linux 5 (i386, x86_64), 6 (i386, x86_64) und 7 (x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in den Versionen 3.8.13-118.39.1.1 bzw. 2.6.39-400.315.1.1 bereit. Canonical stellt ebenfalls Sicherheitsupdates für Ubuntu 12.04 ESM und 14.04 ESM für den Linux-Kernel zur Verfügung.

Schwachstellen:

CVE-2019-11135

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.