2022-0531: Linux-Kernel, linux-firmware: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen
Historie:
- Version 1 (2022-03-09 10:30)
- Neues Advisory
- Version 2 (2022-03-14 10:16)
- Für Fedora 34 und 35 stehen Sicherheitsupdates für die 'linux-firmware' im Status 'testing' bereit, die neben dem aktuellen Microcode von AMD weitere Änderungen für unter anderm WLAN-, Bluetooth- und Grafikkomponenten umsetzt, für die keine Schwachstellen angegeben werden.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Beschreibung:
Ein Angreifer kann Schwachstellen in der Implementierung der spekulativen Instruktionsausführung ausnutzen, um Informationen auszuspähen. AMD gibt an, dass die Mitigation V2-2 für die als 'Spectre Variant 2' bekannte Schwachstelle CVE-2017-5715 teilweise unzureichend ist und hat hierfür die Schwachstelle CVE-2021-26401 vergeben.
Für die Ausnutzung der Schwachstellen sind übliche Privilegien erforderlich und ihre erfolgreiche Ausnutzung kann Einfluss auf andere Komponenten haben.
AMD empfiehlt zur Adressierung der Schwachstelle CVE-2017-5715 die Nutzung der veröffentlichten Mitigationen V2-1 ‘generic retpoline’ oder V2-4 ‘IBRS’. Benutzer von Linux-Systemen können während des 'Boot'-Vorgangs entscheiden, welche Mitigation genutzt wird. Alternativ ist ein Update auf eine Linux-Kernel Version möglich, die einen von AMD bereitgestellten Patch umfasst.
AMD stellt über das White Paper 'SOFTWARE TECHNIQUES FOR MANAGING SPECULATION ON AMD PROCESSORS' weitere Informationen zum Umgang mit der Schwachstelle bereit.
Schwachstellen:
CVE-2017-5715
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2021-26401
Schwachstelle in AMD Prozessoren ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.