ClickCease SRBDS/CrossTalk (CVE-2020-0543) Sicherheitslücke wird von KernelCare gepatcht - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

SRBDS/CrossTalk (CVE-2020-0543) Sicherheitslücke wird von KernelCare gepatcht

10. Juni 2020. TuxCare PR Team

CVE-2020-0543-(SRBDS)

 

Im Juni 2020 wurde eine neue CPU-Schwachstelle mit der Bezeichnung SRBDS/CrossTalk entdeckt. Das Team von KernelCare erstellt derzeit einen Patch, um sie zu schließen. Lassen Sie uns diese neue Schwachstelle untersuchen und herausfinden, was wir tun, um sie zu beseitigen. 

Inhalte:

  1. Aktualisierungen in Echtzeit
  2. Was ist CrossTalk (CVE-2020-0543)
  3. Wie kann die CrossTalk-Schwachstelle ohne Neustart entschärft werden?
    1. Wenn Sie mit Hardware arbeiten
      1. Schritt 1: Aktualisierung des Mikrocodes ohne Neustart
      2. Schritt 2: KernelCare-Patches anwenden
    2. Wenn Sie auf einer virtuellen Maschine arbeiten

Aktualisierungen in Echtzeit:

15. Juni: Patches gegen SRBDS/CrossTalk (CVE-2020-0543) sind verfügbar für
  • CentOS 6,
  • CentOS 6 Plus,
  • CentOS 7 Plus,
  • OpenVZ 6,
  • RHEL 6,
  • RHEL 7,
  • CloudLinux 6,
  • CloudLinux 6 Hybrid,
  • OEL 6,
  • Scientific Linux 6.
18. Juni: Patches gegen SRBDS/CrossTalk (CVE-2020-0543) sind verfügbar für
  • Debian 9,
  • CentOS8 ,
  • CloudLinux OS 8,
  • OEL8,
  • RHEL8-Distributionen.
19. Juni: Patches gegen SRBDS/CrossTalk (CVE-2020-0543) sind verfügbar für
  • CentOS7,
  • CloudLinux OS 7-Distributionen.
22. Juni: Patches gegen SRBDS/CrossTalk (CVE-2020-0543) sind verfügbar für
  • Ubuntu Bionisch,
  • Ubuntu Xenial,
  • Ubuntu Bionic AWS,
  • Ubuntu Xenial LTS Bionic,
  • Ubuntu Xenial LTS Bionic AWS,
  • Ubuntu Xenial LTS Bionic Azure,
  • Ubuntu Xenial LTS Bionic GCP Distributionen.
  • Ubuntu Trusty LTS Xenial
  • Ubuntu Trusty LTS Xenial AWS
  • Ubuntu Xenial AWS
  • Ubuntu Xenial FIPS
23. Juni: Patches gegen SRBDS/CrossTalk (CVE-2020-0543) sind verfügbar für
  • Oracle Linux 6 UEK 4
  • Oracle Linux 7 UEK 4
  • Oracle Linux 7 UEK5
  • Amazon Linux 1 & 2

Was ist CrossTalk?

 

Ähnlich wie eine MDS-Schwachstelle ermöglicht es CrossTalk bösartigen Code, der auf einem CPU-Kern ausgeführt wird, Daten von Software, die auf einem anderen Kern ausgeführt wird, auszuspähen. Es kompromittiert den Zufallszahlengenerator der CPU, so dass der gemeinsame Puffer überschrieben werden kann, bevor er wiederverwendet wird.

 

CrossTalk wurde von VUSec, der Systems and Network Security Group der Vrije Universiteit Amsterdam, entdeckt. Es betrifft Intel-Prozessoren, die die Zufallszahlengeneratoren RDRAND und/oder RDSEED verwenden, und seine CVE-Bezeichnung lautet CVE-2020-0543.

 

Intel bezeichnet die Schwachstelle als SRBDS, kurz für "Special Register Buffer Data Sampling", aber in Technologiekreisen ist sie unter dem Namen CrossTalk bekannt geworden. 

 

Wie kann die CrossTalk-Schwachstelle ohne Neustart entschärft werden?

 

1) Wenn Sie mit Hardware arbeiten:

Um diese Schwachstelle zu entschärfen, führen Sie 2 Schritte aus, die keinen Neustart erfordern wenn Sie die folgenden Anweisungen befolgen:

 

Schritt 1: Microcode ohne Neustart aktualisieren

Microcode ist der Code, der in der CPU selbst läuft und von Intel verwaltet wird. Das Verfahren wird in der Regel beim Neustart durchgeführt: Sie erhalten den neuen Kernel, der einen neuen Mikrocode enthält, und wenn der Kernel bootet, wird der neue Mikrocode in der CPU installiert.

Update des Microcodes ohne Neustart mit unserer Anleitung hier oder sehen Sie sich das Video-Tutorial an:

 

Schritt 2: KernelCare-Patches anwenden

Nun müssen Sie noch den Linux-Kernel aktualisieren, um sicherzustellen, dass der lokale Benutzer die Daten, die Sie auf der CPU ausführen, nicht lesen kann. Mit KernelCare können Sie das tun, ohne neu zu booten. Melden Sie sich für die kostenlose 30-Tage-Testversion an.

 

 

2) Wenn Sie mit einer virtuellen Maschine arbeiten:

Sie müssen nur den Linux-Kernel innerhalb der VM patchen. Vergewissern Sie sich, dass Ihr Host-Knoten ebenfalls aktualisiert wurde, was in der Regel von Ihrem Dienstanbieter durchgeführt wird.

Wenn Sie Ihr KernelCare verwenden, werden Ihre Patches automatisch von KernelCare bereitgestellt und Sie müssen nichts weiter tun. Wenn nicht, ist dies der richtige Zeitpunkt, um sich für die kostenlose 30-Tage-Testversion anzumelden.

 

Weitere Patches werden im Laufe dieser Woche hinzugefügt. Um sofort zu erfahren, wann der Patch verfügbar ist, können Sie diesen Blog oder unseren Twitter und Facebook Kanäle verfolgen.

 

Lesen Sie weiter: Neue CVE von Virtuozzo gefunden und von KernelCare live gepatcht

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter