2023-1682: AMD-Prozessoren: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2023-07-25 17:11)

Neues Advisory

Version 2 (2023-07-26 12:29)

Für Ubuntu 23.04, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM stehen Sicherheitsupdates für 'amd64-microcode' bereit, um die Schwachstelle zu beheben.

Version 3 (2023-07-26 13:02)

Für Fedora 38 steht ein Sicherheitsupdate in Form des Pakets 'xen-4.17.1-7.fc38' im Status 'testing' bereit.

Version 4 (2023-07-27 09:02)

Als Sicherheitsupdates stehen für Fedora 37 das Paket 'xen-4.16.4-2.fc37' im Status 'testing', für Debian 11 Bullseye (oldstable) und Debian 12 Bookworm (stable) Pakete für 'amd64-microcode' in den Versionen 3.20230719.1~deb11u1 und 3.20230719.1~deb12u1, für SUSE Linux Enterprise High Performance Computing 12 SP2, SUSE Linux Enterprise Server 12 SP2 und 12 SP2 BCL Pakete für 'kernel-firmware' sowie für Oracle Linux 7, 8 und 9 (x86_64, aarch64) Pakete für 'linux-firmware' bereit.

Version 5 (2023-07-27 18:32)

Für SUSE Linux Enterprise High Performance Computing 12 SP5, SUSE Linux Enterprise Server 12 SP5 sowie SUSE Linux Enterprise Server for SAP Applications 12 SP5 stehen Sicherheitsupdates in Form von 'kernel-firmware' Paketen zur Verfügung, um die Schwachstelle zu beheben.

Version 6 (2023-07-31 13:31)

Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'linux' in Version 6.1.38-2 zur Behebung der Schwachstelle zur Verfügung. Für Basesystem Module 15 SP4 und 15 SP5, openSUSE Leap 15.4 und 15.5, openSUSE Leap Micro 5.3 und 5.4, SUSE CaaS Platform 4.0, SUSE Linux Enterprise Desktop 15 SP4 und 15 SP5, SUSE Linux Enterprise High Performance Computing 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP4 und 15 SP5, SUSE Linux Enterprise Micro 5.3 und 5.4, SUSE Linux Enterprise Micro for Rancher 5.3 und 5.4, SUSE Linux Enterprise Real Time 15 SP4 und 15 SP5, SUSE Linux Enterprise Server 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP4 und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP1, 15 SP2, 15 SP4 und 15 SP5, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'kernel-firmware' bereit.

Version 7 (2023-07-31 18:39)

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'amd64-microcode' in Version 3.20230719.1+deb10u1 zur Verfügung, um die Schwachstelle zu beheben. Das Sicherheitsupdate adressiert zusätzlich die Schwachstelle CVE-2019-9836, welche einem Angreifer aus der Ferne das Umgehen von Sicherheitsvorkehrungen ermöglicht.

Version 8 (2023-08-01 10:36)

Für Oracle Linux 8 und 9 (aarch64, x86_64) stehen Sicherheitsupdates für 'linux-firmware' bereit, um die Schwachstelle zu beheben.

Version 9 (2023-08-01 12:13)

Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates bereit, mit denen die Schwachstelle CVE-2023-20593 in 'linux-firmware' adressiert wird. Darüber hinaus stellt das Xen Project einen neuen Patch für Xen bereit, da der bisherige Patch im Kontrollregister mehr Bits als erwartet deaktiviert hat. Für Fedora 37 und 38 stehen Sicherheitsupdates für 'xen' im Status 'testing' bereit.

Version 10 (2023-08-07 09:23)

Für Fedora 37 und 38 stehen Sicherheitsupdates in Form von 'linux-firmware-20230804-152'-Paketen im Status 'testing' bereit, um die Schwachstelle zu beheben.

Version 11 (2023-08-08 10:14)

Citrix informiert in einer Aktualisierung des Abschnitts 'What Customers Should Do' darüber, dass der ursprüngliche Hotfix XS82ECU1041 für Citrix Hypervisor auf AMD Zen 2 CPUs zu einem funktionalen Problem geführt hatte. Aus diesem Grund wurde XS82ECU1041 zurückgezogen und ein neuer Hotfix XS82ECU1044 veröffentlicht, der sowohl dieses funktionale Problem behebt als auch XS82ECU1041 zur Behebung der Schwachstelle beinhaltet.

Version 12 (2023-08-08 12:14)

Für SUSE Enterprise Storage 7.1, SUSE Linux Enterprise High Performance Computing 15 SP3 / 15 SP3 ESPOS / 15 SP3 LTSS, SUSE Linux Enterprise Micro 5.1 / 5.2, SUSE Linux Enterprise Micro for Rancher 5.2, SUSE Linux Enterprise Server 15 SP3 / 15 SP3 LTSS, SUSE Linux Enterprise Server for SAP Applications 15 SP3, SUSE Manager Proxy 4.2, SUSE Manager Retail Branch Server 4.2 und SUSE Manager Server 4.2 stehen Sicherheitsupdates für 'kernel-firmware' zur Verfügung, um die Schwachstelle zu adressieren.

Version 13 (2023-08-17 09:16)

Für Fedora 38 steht ein Sicherheitsupdate in Form des Pakets 'spectre-meltdown-checker-0.46-1.fc38' im Status 'testing' bereit, welches im Wesentlichen auf die Detektion und Mitigation der neuen Zenbleed-Schwachstelle (CVE-2023-20593) ausgerichtet ist.

Version 14 (2023-09-13 12:11)

Für Red Hat Enterprise Linux 9 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'linux-firrmware' adressiert wird.

Version 15 (2023-09-20 09:55)

Für Red Hat Enterprise Linux 8 (x86_64, aarch64), 8.8 EUS (x86_64, aarch64) und Red Hat Enterprise Linux Server 8.8 TUS (x86_64) stehen Sicherheitsupdates für 'linux-firmware', um die Schwachstelle zu beheben.

Version 16 (2023-10-11 17:59)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.0 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS / TUS 8.2 (x86_64) und Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für 'linux-firmware', um die Schwachstelle zu beheben.

Version 17 (2023-10-26 09:44)

Für Oracle Linux 9 (aarch64, x86_64) stehen Sicherheitsupdates für 'linux-firmware' bereit, um die Schwachstelle zu beheben.

Version 18 (2024-03-15 11:56)

Für Basesystem Module 15 SP5, openSUSE Leap 15.5, SUSE Enterprise Storage 7.1, SUSE Linux Enterprise Desktop 15 SP4 LTSS und 15 SP5, SUSE Linux Enterprise High Performance Computing 12 SP5, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 ESPOS / LTSS und 15 SP5, SUSE Linux Enterprise Real Time 15 SP5, SUSE Linux Enterprise Server 12 SP5, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS, 15 SP4, 15 SP4 LTSS und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 12 SP5, 15 SP2, 15 SP3, 15 SP4 und 15 SP5 sowie SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'spectre-meltdown-checker' auf Version 0.46 bereit, womit u. a. die neue Zenbleed-Schwachstelle CVE-2023-20593 detektiert werden kann.

Betroffene Software

Sicherheit
Systemsoftware
Virtualisierung

Betroffene Plattformen

Hardware
Cloud
Linux
Oracle
UNIX
Container

Beschreibung:

Ein Angreifer kann die als 'Zenbleed' bezeichnete Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Der Hersteller informiert über die Schwachstelle in AMD Ryzen Prozessoren und stellt als Sicherheitsupdate entsprechenden Microcode und Firmware-Versionen zur Verfügung.
Citrix stellt Citrix Hypervisor 8.2 LTSR CU1 als Sicherheitsupdate zur Verfügung, um die Schwachstelle zu beheben. Xen stellt Patches für die Versionen 4.14, 4.15, 4.16 und 4.17 als Sicherheitsupdates bereit. OpenBSD informiert über die Schwachstellen und veröffentlicht Firmwarepatches sowie Workarounds für OpenBSD 7.2 und 7.3, um die Schwachstelle zu beheben. OpenBSD hat die Schwachstelle zum Anlass genommen, um Mechanismen in Form weiterer Patches hinzuzufügen, die die Installation und das Laden von AMD Firmware-Updates auf OpenBSD-Systemen zu ermöglichen, damit frühere und zukünftige Schwachstellen leichter adressiert werden können.

Darüber hinaus wird die Schwachstelle mit Updates für den Linux-Kernel in den Versionen 6.4.6, 6.1.41, 5.15.122, 5.10.187, 5.4.250 und 4.19.289 adressiert.

Über die Auswirkungen der Patches und Sicherheitsupdates auf die Performance betroffener Systeme gibt es noch keine Informationen.

Schwachstellen:

CVE-2023-20593

Schwachstelle in AMD-Prozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.