2020-2487: Intel Prozessoren, Intel Microcode: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2020-11-11 16:30): Neues Advisory
Version 2 (2020-11-11 18:20): Für SUSE OpenStack Cloud Crowbar 8 und 9, SUSE OpenStack Cloud 7, 8 und 9 sowie die SUSE Linux Enterprise Produkte Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS und 12 SP4 LTSS sowie für SUSE Enterprise Storage 5 stehen Sicherheitsupdates für 'ucode-intel' bereit, womit der Intel CPU Microcode auf Version 20201027 Pre-Release aktualisiert wird und die Schwachstellen CVE-2020-8695 und CVE-2020-8698 behoben werden. Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein entsprechendes Sicherheitsupdate für 'microcode_ctl' zur Verfügung.
Version 3 (2020-11-12 10:25): Für Fedora 31, 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'microcode_ctl-2.1-39.2.fc31', 'microcode_ctl-2.1-39.2.fc32' und 'microcode_ctl-2.1-42.fc33' im Status 'testing' bereit, um die Schwachstellen zu schließen. Damit wird der Intel CPU Microcode auf Version 20201110 aktualisiert.
Version 4 (2020-11-13 09:15): Citrix gibt an, dass auch Citrix Hypervisor und Citrix XenServer von den Schwachstellen betroffen sind und stellt die Hotfixes CTX285169 für XenServer 7.0, CTX285170 für XenServer 7.1 LTSR CU2, CTX285171 für Hypervisor 8.1 und CTX285172 für Hypervisor 8.2 LTSR als Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.
Version 5 (2020-11-17 11:36): Für Oracle Linux 6 (x86_64, i386) und 7 (x86_64) stehen Sicherheitsupdates für 'microcode_ctl' zur Behebung der Schwachstellen zur Verfügung.
Version 6 (2020-11-17 18:33): Für openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates für 'ucode-intel' bereit, womit der Intel CPU Microcode auf Version 20201027 Pre-Release aktualisiert wird und die Schwachstellen CVE-2020-8695 und CVE-2020-8698 behoben werden.
Version 7 (2020-11-18 08:56): Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für 'microcode_ctl' zur Behebung der Schwachstellen CVE-2020-8695, CVE-2020-8696 und CVE-2020-8698 zur Verfügung.
Version 8 (2020-11-20 09:17): Für die SUSE Linux Enterprise Produkte Module for Basesystem 15 SP1 und 15 SP2, Server for SAP 15 sowie High Performance Computing 15 ESPOS / LTSS stehen Sicherheitsupdates für 'ucode-intel' bereit, womit der Intel CPU Microcode auf Version 20201110 Official Release aktualisiert wird und die Schwachstellen CVE-2020-8695, CVE-2020-8696 und CVE-2020-8698 behoben werden. Für SUSE Linux Enterprise Server 11 SP4 LTSS steht ein entsprechendes Sicherheitsupdate für 'microcode_ctl' zur Verfügung.
Version 9 (2020-11-20 12:42): Für Oracle VM 3.4 steht ein Sicherheitsupdate für 'microcode_ctl' zur Behebung der Schwachstellen bereit, womit der Intel CPU Microcode auf das 'microcode-20201027' Release aktualisiert wird.
Version 10 (2020-11-20 17:59): Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate für 'ucode-intel' bereit, womit der Intel CPU Microcode auf Version 20201110 Official Release aktualisiert wird und die Schwachstellen CVE-2020-8695, CVE-2020-8696 und CVE-2020-8698 behoben werden.
Version 11 (2020-11-23 10:51): Für Fedora 31, 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'microcode_ctl-2.1-39.3.fc31', 'microcode_ctl-2.1-39.3.fc32' und 'microcode_ctl-2.1-43.fc33', um die Schwachstellen zu schließen. Die Pakete für Fedora 31 und 32 befinden sich im Status 'testing' und das Paket für Fedora 33 ist im Status 'stable'. Die vorhergehenden Pakete für Fedora 23 und 33 sind in den Status 'obsolete' übergegangen und deren Referenzen wurden entfernt.
Version 12 (2020-11-24 11:08): Für die Red Hat Enterprise Linux Produkte EUS Compute Node 7.6, Server AUS 6.5, 6.6, 7.2 und 7.3, Server TUS 7.3 und 7.6 sowie Red Hat Enterprise Linux for x86_64 - Extended Update Support 7.6 stehen Sicherheitsupdates für 'microcode_ctl' in der Version 202010112 zur Verfügung. Darüber hinaus stehen für die Red Hat Enterprise Linux Produkte EUS Compute Node 7.7, Server AUS 7.7 und 8.2, Server TUS 7.7 und 8.2 sowie Red Hat Enterprise Linux for x86_64 - Extended Update Support 7.7 Sicherheitsupdates für 'microcode_ctl' in der Version 20201027 bereit.
Version 13 (2020-11-24 17:27): Für Red Hat Enterprise Linux Server 7.4 AUS / TUS stehen ebenfalls Sicherheitsupdates für 'microcode_ctl' in der Version 202010112 zur Verfügung. Die Schwachstelle CVE-2020-8694 wird dabei nicht adressiert.
Version 14 (2020-11-26 17:36): Für SUSE Linux Enterprise Server 12 SP2 SAP / LTSS / BCL, 12 SP3 SAP / LTSS / BCL, 12 SP4 SAP / LTSS, SUSE Enterprise Storage 5, SUSE OpenStack Cloud 7, 8 und 9 sowie SUSE OpenStack Cloud Crowbar 8 und 9 stehen Sicherheitsupdates für 'ucode-intel' bereit, womit der Intel CPU Microcode auf Version 20201118 Official Release aktualisiert wird und die Schwachstellen CVE-2020-8695, CVE-2020-8696 und CVE-2020-8698 behoben werden.
Version 15 (2020-11-27 14:56): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'ucode-intel' bereit, womit der Intel CPU Microcode auf Version 20201118 Official Release aktualisiert wird und die Schwachstellen CVE-2020-8695, CVE-2020-8696 und CVE-2020-8698 behoben werden.
Version 16 (2020-11-30 12:55): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'ucode-intel' bereit, womit der Intel CPU Microcode auf Version 20201118 Official Release aktualisiert wird und die Schwachstellen CVE-2020-8695, CVE-2020-8696 und CVE-2020-8698 behoben werden.
Version 17 (2020-12-09 09:57): Für Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.1 steht ein Sicherheits-, BugFix- und Erweiterungsupdate für 'microcode_ctl' zur Verfügung. Mittels des veröffentlichten Updates werden die Schwachstellen CVE-2020-8695, CVE-2020-8696 und CVE-2020-8698 adressiert.
Version 18 (2021-02-08 09:58): Debian stellt für Debian 9 Stretch (LTS) ein Sicherheitsupdate für 'intel-microcode' bereit, mit dem die Schwachstellen CVE-2020-8695, CVE-2020-8696 und CVE-2020-8698 adressiert werden.
Version 19 (2021-05-17 16:15): Canonical stellt für Ubuntu 21.04, Ubuntu 20.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS erneut Sicherheitsupdates für den Intel Microcode bereit, um die Schwachstellen CVE-2020-8695, CVE-2020-8696 und CVE-2020-8698 zu adressieren.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Hardware
Netzwerk
Cloud
Linux
Oracle
Hypervisor

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben. Die zwei Schwachstellen CVE-2020-8694 und CVE-2020-8695 sind unter dem Namen PLATYPUS bekannt und ermöglichen Seitenkanalangriffe (Side-Channel Attacks) über die Intel Running Average Power Limit (RAPL)-Schnittstelle, welche für die Überwachung und Steuerung des Stromverbrauchs von CPU und DRAM zuständig ist.

Der Hersteller Intel bestätigt die Schwachstellen für verschiedene Prozessoren und stellt die Version 20201110 des Intel Microcodes als Sicherheitsupdate bereit.

Für die SUSE Linux Enterprise Produkte Server 12 SP5, Server for SAP 15, Module for Basesystem 15 SP1 und 15 SP2 sowie High Performance Computing 15 ESPOS / LTSS stehen Sicherheitsupdates für 'ucode-intel' bereit, mit denen der Intel CPU Microcode auf Version 20201027 Pre-Release aktualisiert und die Schwachstellen CVE-2020-8695 und CVE-2020-8698 behoben werden.

Für Red Hat Enterprise Linux 6 und 7 (Server, Workstation, Desktop, for Scientific Computing) sowie für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für 'microcode_ctl' in der Version 20201027 bereit, um die Schwachstellen zu beheben. Die Schwachstelle CVE-2020-8694 wird nicht adressiert.

Schwachstellen:

CVE-2020-8694

Schwachstelle in Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2020-8695

Schwachstelle in Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2020-8696

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2020-8698