DFN-CERT

Advisory-Archiv

2024-0944: Intel-Prozessoren, Linux-Kernel, Xen: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2024-04-10 18:49)
Neues Advisory
Version 2 (2024-05-08 08:41)
Nachfolgend wurden Probleme mit den ursprünglichen Code-Änderungen festgestellt, die nun durch neuere Commits für Xen 4.15, 4.16, 4.17 und 4.18 behoben werden.
Version 3 (2024-05-13 17:40)
Für Oracle Linux 7 (aarch64, x86_64) und Oracle Linux 8 (x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel bereit, um die Schwachstelle zu beheben.
Version 4 (2024-05-14 08:34)
Für Oracle Linux 7 (x86_64) und Oracle Linux 8 (x86_64) stehen Sicherheitsupdates für den 'Unbreakable Enterprise kernel-container' bereit, um die Schwachstelle zu beheben.
Version 5 (2024-05-16 08:45)
Für Oracle Linux 8 (aarch64, x86_64) und Oracle Linux 9 (x86_64) stehen weitere Sicherheitsupdates für den 'Unbreakable Enterprise Kernel' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Hardware
Linux
Oracle
Hypervisor

Beschreibung:

Unter den Namen 'Spectre v2' bzw. 'Branch History Injection (BHI)' ist eine Angriffsstrategie bekannt, die Schwachstellen in der Spekulativen Ausführung (Speculative Execution) auf Intel-Prozessoren ausnutzt.

Ein Angreifer kann diese Schwachstellen lokal ausnutzen, um Informationen auszuspähen. Genauer kann ein Angreifer mit Zugang zu CPU-Ressourcen geschützte Speicherinhalte ausspähen, auch solche, deren Zugriff nur privilegierten Kernel-Prozessen vorbehalten ist. Dabei ist es potentiell möglich, Sandboxing-Mechanismen und den durch Virtualisierung gegebenen Speicherschutz zu umgehen.

Seit der Entdeckung dieses Schwachstellentyps wurden zahlreiche Gegenmaßnahmen ergriffen. Nun wurde ein neues Analysewerkzeug entwickelt, das zeigt, dass der Linux-Kernel weiterhin angreifbar ist. Es wurden einige als 'Gadgets' bezeichnete Code-Stellen gefunden, die mit BHI-Techniken ausnutzbare Schwachstellen enthalten. Die meisten dieser 'Gadgets' funktionieren nur mit aktiviertem 'eBPF' (extended Berkeley Packet Filter). Mindestens ein 'Gadget' ist auch ohne 'eBPF' ausnutzbar. Dies wird als 'Native-BHI' bezeichnet.

Intels Firmware enthält Patches, die neben allgemeinen Gegenmaßnahmen eine Ausnutzung spezifischer Code-Stellen ('Gadgets') des Linux-Kernels und anderer verbreiteter Software verhindern und veröffentlicht Empfehlungen für Betriebssystem und Virtualiserungsentwickler, um deren Code resistent zu machen. Inwieweit Intels Patches schon die neuesten Schwachstellen adressieren, ist aus den bisher publizierten Advisories unklar.

AMD-Prozessoren sind laut Hersteller von diesen neuen Angriffen nicht betroffen.

Die Virtualisierungssoftware Xen ist zwar nicht direkt von den gefundenen Linux-Schwachstellen betroffen, nimmt die aktuellen Fortschritte bei den Angriffstechniken jedoch zum Anlass, Backports ihrer existierenden Spectre-Mitigationen zu veröffentlichen. Diese sind in den Releases 4.18.2, 4.17.4, 4.16.6 und 4.15.6 enthalten. Für entsprechende Distributionsupgrades werden separate Advisories veröffentlicht.

Oracle veröffentlicht Sicherheitsupdates für den 'Unbreakable Enterprise Kernel', um die Schwachstellen im Linux-Kernel zu beheben. Diese stehen in der Version 5.4.17-2136.330.7.1 für Oracle Linux 7 und 8 (x86_64, aarch64), einschließlich der Variante 'Kernel-Container' und in der Version 5.15.0-205.149.5.1 für Oracle Linux 8 und 9 (x86_64, aarch64) bereit. In einigen dieser Kernel-Updates werden auch weitere Sicherheitslücken behoben. Für diese werden separate Advsiories veröffentlicht.

SUSE kündigt Kernel-Updates zur Behebung der Schwachstellen an und veröffentlicht einen Support Artikel, der die Konfiguration von Hard- und Software-Mitigationen des Kernels erklärt.

Schwachstellen:

CVE-2024-2201

Schwachstelle in Intel-Prozessoren und Linux-Kernel ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.