Bundesamt für Sicherheit in der Informationstechnik

CB-K18/0010 Update 1

Risikostufe 4

Titel:Mikroprozessoren, Spectre, Meltdown: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen und Ausspähen von InformationenDatum:05.01.2018Software:Microsoft SQL Server 2016 SP1 x64, Microsoft SQL Server 2017 x64, Linux-Kernel, Microsoft Windows , Microsoft Windows Server, XenPlattform:Red Hat Enterprise MRG 2, Red Hat Enterprise Virtualization 4 Host, Debian Linux 9.3 Stretch, Microsoft Windows 7 SP1 x64, Microsoft Windows 7 SP1 x86, Microsoft Windows 8.1 x64, Microsoft Windows 8.1 x86, Microsoft Windows 10, Microsoft Windows 10 x86, Microsoft Windows 10 x64 v1511, Microsoft Windows 10 x86 v1511, Microsoft Windows 10 x64 v1607, Microsoft Windows 10 x86 v1607, Microsoft Windows 10 x64 v1703, Microsoft Windows 10 x86 v1703, Microsoft Windows 10 x64 v1709, Microsoft Windows 10 x86 v1709, Microsoft Windows Server v1709 (Server Core Installation), Microsoft Windows Server 2008 SP2 x64 Server Core Installation , Microsoft Windows Server 2008 SP2 x86 Server Core Installation , Microsoft Windows Server 2008 SP2 Itanium, Microsoft Windows Server 2008 SP2 x64, Microsoft Windows Server 2008 SP2 x86, Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation, Microsoft Windows Server 2008 R2 SP1 Itanium, Microsoft Windows Server 2008 R2 SP1 x64, Microsoft Windows Server 2012, Microsoft Windows Server 2012 Server Core Installation, Microsoft Windows Server 2012 R2, Microsoft Windows Server 2012 R2 Server Core Installation, Microsoft Windows Server 2016, Oracle Linux 7, Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux 6.7 EUS Compute Node, Red Hat Enterprise Linux 7, Red Hat Enterprise Linux for Real Time 7 , Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.3 EUS Compute Node, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 6.2 AUS, Red Hat Enterprise Linux Server 6.4 AUS, Red Hat Enterprise Linux Server 6.5 AUS, Red Hat Enterprise Linux Server 6.6 AUS, Red Hat Enterprise Linux Server 6.6 TUS, Red Hat Enterprise Linux Server 6.7 EUS, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.2, Red Hat Enterprise Linux Server 7.2 AUS, Red Hat Enterprise Linux Server 7.2 TUS, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.3, Red Hat Enterprise Linux Server 7.3 AUS, Red Hat Enterprise Linux Server 7.3 EUS, Red Hat Enterprise Linux Server 7.3 TUS, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, XenAuswirkung:PrivilegieneskalationRemoteangriff:NeinRisiko:hochCVE Liste:CVE-2017-5715, CVE-2017-5753, CVE-2017-5754Bezug: Fedora Security Update FEDORA-2018-8ed5eff2c0 (Fedora 26, kernel-4.14.11-200.fc26)

Beschreibung

Der Microsoft SQL Server (kurz MSSQLServer) ist ein relationales Datenbankmanagementsystem.

Linux ist ein Betriebssystemkern. Er wird in einer Vielzahl von Distributionen und Betriebssystemen verwendet.

Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens Microsoft.

Windows Server ist ein Produktname, unter dem Microsoft seine Serverbetriebssysteme zusammenfasst. Dazu gehören die Produkte Windows Server 2003 und 2003 R2, Windows Server 2008 und 2008 R2, Windows Server 2012 und 2012 R2 sowie Windows Server 2016.

Xen ist ein Hypervisor, der direkt auf der Hardware läuft und es erlaubt, mehrere virtuelle Maschinen unterschiedlicher Betriebssysteme auf einem physischen Computer zu betreiben.

Die Implementierung für die leistungssteigernde Technik 'speculative Execution of Instructions' für verschiedene Mikroprozessordesigns ist fehlerhaft. Bei der 'speculative Execution of Instructions' werden Annahmen über das Ergebnis einer anderen Operation getroffen und zur Ausführung der Instruktion verwendet. Treffen die Annahmen zu, ist das Ergebnis eine Beschleunigung der Verarbeitung. Treffen die Annahmen nicht zu, muss die Instruktion zurückgesetzt werden. Der Fehler in der Implementierung besteht darin, dass Seiteneffekte der Ausführung der Instruktion bestehen bleiben. U.a. werden Änderungen am TLB (Translation Lookaside Buffer) nicht zurückgesetzt. Daraus resultieren mehrere Schwachstellen, die abhängig vom eingesetzten Prozessortyp von einem Angreifer ausgenutzt werden können: Die Schwachstelle CVE-2017-5715 (Spectre) betrifft Intel und AMD Mikroprozessoren und ermöglicht vermutlich einem Angreifer im benachbarten Netzwerk, Kernel-Programmcode an einer von ihm selbst kontrollierten Speicheradresse zur Ausführung zu bringen und dadurch privilegierten Speicher zu lesen. Die Schwachstelle CVE-2017-5753 (Spectre) betrifft Intel und AMD Mikroprozessoren und ermöglicht vermutlich einem Angreifer im benachbarten Netzwerk die Ausführung spekulativer Instruktionen des Betriebssystems oder Hypervisors hinter Speicher- und Sicherheitsgrenzen und darüber den Zugriff auf privilegierten Speicher. Die Schwachstelle CVE-2017-5754 (Meltdown) betrifft nach derzeitigem Kenntnisstand nur Intel Mikroprozessoren und ermöglicht einem lokalen, nicht authentisierten Angreifer das Auslesen von Kernelspeicher vom Userspace aus und dadurch die Ausführung beliebigen Programmcodes mit den höchsten Privilegien. Über die genauen Auswirkungen der Schwachstellen wird noch im Einzelfall diskutiert, da diese auf unterschiedlichen Plattformen verschieden sein können. Die Bewertung der Schwachstellen basiert an dieser Stelle daher auf der Arbeit der Schwachstellenentdecker selbst (Project Zero) und den bisher bekannten Einschätzungen der betroffenen Softwarehersteller. Sicher ist, dass die zur Behebung der Schwachstellen notwendigen Patches Performanceeinbußen für die betroffenen Systeme mit sich bringen werden, da die Sicherheitsupdates primär auf einer Deaktivierung der leistungssteigernden Technik beruhen, und dass die Behebung der Schwachstellen sowohl Software- als auch Firmware-seitige Updates erfordert. Im von Intel veröffentlichten Sicherheitshinweis verweist der Prozessorhersteller für Firmwareupdates auf die Hersteller und Distributoren der Systeme, die die hauseigenen Prozessoren einsetzen. Gleiches gilt auch für Systeme mit Mikroprozessoren anderer Chiphersteller, von denen bisher mit Ausnahme von AMD noch keine Stellungnahmen vorliegen. AMD weist darauf hin, dass die Schwachstelle CVE-2017-5754 (Meltdown) AMD-Prozessoren nicht betrifft, da diese eine andere Architektur verwenden. Für die Ausnutzung der Schwachstelle CVE-2017-5715 (Spectre) besteht auf AMD-Systemen aus demselben Grund nur ein geringes Risiko. Die Schwachstelle CVE-2017-5753 (Spectre) wird laut Aussage von AMD Software-seitig von Betriebssystemherstellern behoben. Da so gut wie alle aktuellen Betriebssysteme von den Schwachstellen betroffen sind, sollten die Hinweise der jeweiligen Softwarehersteller in den kommenden Tagen genau beachtet werden. Der Xen Hypervisor ist laut Aussage des Herstellers von allen Schwachstellen betroffen. Als mögliche Auswirkung wird das Ausspähen aller Informationen aus dem Speicher eines geteilten Hosts genannt. Die Informationen können durch Ausführung spekulativer Instruktionen erhalten werden, die vom Angreifer kontrollierbar sind. Die Schwachstelle CVE-2017-5754 kann hier umgangen werden, indem Gastsysteme im HVM- oder PVH-Modus betrieben werden. Es stehen noch keine Sicherheitsupdates für Xen zur Verfügung. Microsoft empfiehlt allen Nutzern, alle verfügbaren Betriebssystemupdates - insbesondere die bisherigen Windows Sicherheitsupdates vom Januar 2018 - zu installieren. Für Microsoft Surface Produkte kündigt der Hersteller ein Firmware Update an. Um die Schließung der Sicherheitslücken zu verifizieren stellt Microsoft ein PowerShell Script zur Verfügung und weist darauf hin, dass einige Antivirusprogramme nicht mit den Sicherheitsupdates kompatibel sind. Microsoft weist darauf hin, dass die aktuellen Updates auch Mitigationen für Internet Explorer und Edge im Kontext der Schwachstellen beinhalten. Die Auswirkungen auf diese Produkte sind bisher unklar. Im aktuellen Sicherheitsupdate für die Microsoft Browser werden vor allem Speicherkorruptionsschwachstellen in der Scripting Engine behandelt. Für verschiedene Versionen von Microsoft Windows Server stehen ebenfalls Sicherheitsupdates zur Verfügung. Microsoft weist darauf hin, dass ein erhöhtes Risiko besteht, wenn die Server als Hyper-V Hosts oder Remote Desktop Services Hosts (RDSH) betrieben werden und wenn nicht vertrauenswürdiger Programmcode, beispielsweise über Container, auf den Geräten verwendet werden kann. Hier werden zusätzlich Registry-Einträge angegeben, um die Mitigationen auf dem Server zu aktivieren und es steht ebenfalls ein PowerShell Skript zur Prüfung zur Verfügung. Weiterhin stehen Sicherheitsupdates für verschiedene Versionen von Microsoft SQL Server und verschiedene Hinweise zu unterschiedlichen Einsatzszenarien zur Verfügung. In Linux-Systemen werden aktuell Patches unter der Abkürzung KPTI (Kernel Page Table Isolation) veröffentlicht, die Kernel- und Userland-Speicher besser trennen sollen. Einige Softwarehersteller stellen gesonderte Firmware-Sicherheitsupdates zur Verfügung, die nur CVE-2017-5715 (Spectre) adressieren. Dazu existiert ein gesonderter Sicherheitshinweis. Für das gesamte Red Hat Portfolio stehen bereits Sicherheitsupdates für den Linux-Kernel oder den Echtzeitkernel zur Verfügung. Hier werden die Schwachstellen für die aktuellen Red Hat Enterprise Linux 6 und 7 Editionen sowie die Editionen mit erweitertem Support (Advanced Update Support, Extended Update Support, Telco Update Support) behoben. Für Fedora 26 und 27 stehen Kernel-Sicherheitsupdates im Status 'stable' (Fedora 27) beziehungsweise 'pending' (Fedora 26) bereit. In den Sicherheitsupdates wird die Schwachstelle 'Meltdown' erwähnt, möglicherweise wird hier also nur CVE-2017-5754 adressiert.

Quellen:

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK