ClickCease Die Downfall (Gather Data Sampling)-Schwachstelle auf Intel-CPUs

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Die Sicherheitslücke Downfall (Gather Data Sampling) auf Intel-CPUs (CVE-2022-40982)

Joao Correia

August 16, 2023 - Technischer Evangelist

Einige Informationen in diesem Blogbeitrag stammen aus einem Red Hat-BeratungIntel's Gather Data Sampling Technical Paper, und Intel Sicherheitshinweis INTEL-SA-00828.

 

Eine Sicherheitslücke namens Gather Data Sampling (GDS), auch bekannt als "Downfall", kann zur Offenlegung veralteter Daten führen und Kunden betreffen, die bestimmte Intel-CPUs verwenden - insbesondere solche, die Intel Advanced Vector Extensions 2 (Intel AVX2) und Intel Advanced Vector Extensions 512 (Intel AVX-512) verwenden. Bitte lesen Sie diesen Blog-Beitrag, um mehr über diese Sicherheitslücke und deren Behebung zu erfahren, und halten Sie sich über eventuelle Updates auf dem Laufenden.

 

Der aktuelle Stand des Gather Data Sampling (GDS)

 

Diese Seitenkanalschwachstelle bei der transienten Ausführung in bestimmten Intel-CPUs kann es einem Angreifer ermöglichen, mit einem Data-Sampling-Angriff veraltete Daten aus zuvor verwendeten AVX2- oder AVX-512-Vektorregistern abzurufen. Im schlimmsten Fall kann ein Angriff dazu verwendet werden, kryptografische Schlüssel zu extrahieren.

 

Laut Red Hat kann die Downfall-Schwachstelle durch die Installation von aktualisiertem CPU-Microcode entschärft werden. Dieses Microcode-Update wird in einer weiteren Version des microcode_ctl-Pakets zur Verfügung gestellt. 

 

Intel hat außerdem ein Gather Data Sampling Technical Paper und ein Intel-Sicherheitshinweis INTEL-SA-00828.

 

Was sind die Risiken?

 

Die als CVE-2022-40982 registrierte GDS- oder Downfall-Schwachstelle kann aufgrund der CPU-Hardwareoptimierung die Offenlegung veralteter Daten aus der vorherigen Verwendung von Vektorregistern ermöglichen. Die Bedrohung ist auf denselben physischen Prozessorkern beschränkt und betrifft Daten, die von Befehlen verarbeitet werden, die AVX-Befehle oder interne Vektorregister implizit verwenden.

 

Die Exposition ist auf eine Stichprobenbasis beschränkt und ermöglicht es einem Angreifer nicht, die Quelle der veralteten Daten direkt zu kontrollieren oder zu spezifizieren.

 

Aufgrund der gemeinsamen Nutzung von Ressourcen in virtualisierungsbasierten Systemen, bei denen mehrere virtuelle Maschinen denselben CPU-Kernen zugewiesen werden können, ist es möglich, durch Ausnutzung dieser Schwachstelle Informationen aus verschiedenen Sicherheitskontexten (d. h. anderen virtuellen Maschinen oder sogar dem Host) zu erlangen.

 

Die Auswirkungen der Downfall-Schwachstelle auf die Leistung

 

Die Auswirkungen der Mikrocode-Minderung auf die Leistung sind auf Anwendungen beschränkt, die die von AVX2 und AVX-512 bereitgestellten Gathering-Befehle und den CLWB-Befehl verwenden. Die tatsächliche Auswirkung auf die Leistung hängt davon ab, wie stark eine Anwendung diese Befehle nutzt. Die von Red Hat durchgeführten Tests ergaben eine erhebliche Verlangsamung in Worst-Case-Mikrobenchmarks, aber nur eine Verlangsamung im niedrigen einstelligen Prozentbereich in realistischeren Anwendungen.

 

Aktuelle Lösung

 

Was können Sie also jetzt tun, um Ihre Systeme vor der GDS- oder auch Downfall-Schwachstelle zu schützen?

 

Installieren Sie das Microcode Update: Überprüfen Sie die Verfügbarkeit des Fixes, indem Sie die CVE-Seite überwachen. Die Abschwächung wird standardmäßig auf betroffenen CPUs aktiviert, nachdem der Microcode installiert wurde, unabhängig von der verwendeten Kernel-Version.

 

Lesen Sie hier, wie man diesen Vorgang auf einem laufenden System durchführt.

 

Den Kernel aktualisieren: Dies fügt Berichte über den Status von Schwachstellen und Abhilfemaßnahmen hinzu und bietet die Möglichkeit, die Abhilfemaßnahmen zu deaktivieren. Die eigentliche Behebung des potenziellen Sicherheitsproblems wird durch das Microcode-Update selbst behoben, nicht durch den Kernel-Patch.

 

Entschärfung deaktivieren (optional): Die Benutzer können die Mitigation nach der Risikoanalyse deaktivieren, indem sie gather_data_sampling=off in die Kernel-Befehlszeile eingeben oder mitigations=off verwenden.

 

Hinweis: Der CLWB-Leistungsverlust ist auf Skylake-Architekturen dauerhaft, unabhängig von einer späteren Entfernung der Abschwächung.

 

Diagnostische Schritte

 

Nachdem Sie die Mikrocode- und Kernel-Updates angewendet haben, können Sie den Mitigationsstatus überprüfen, indem Sie einen der folgenden Befehle ausführen:


# dmesg | grep "GDS: "

[    0.162571] GDS: Mitigation: Microcode

# cat /sys/devices/system/cpu/vulnerabilities/gather_data_sampling
Mitigation: Microcode

Wir werden diesen Blog-Beitrag aktualisieren, sobald neue relevante Informationen zu dieser Sicherheitslücke bekannt werden. Wenn Sie KernelCare Enterprise nutzen, folgen Sie unserer Dokumentation zur Aktualisierung des Mikrocodes für die von Ihnen verwendete Linux-Distribution. Seien Sie wachsam und halten Sie Ihre Systeme auf dem neuesten Stand, um geschützt zu bleiben.

Zusammenfassung
Die Sicherheitslücke Downfall (Gather Data Sampling) auf Intel-CPUs (CVE-2022-40982)
Artikel Name
Die Sicherheitslücke Downfall (Gather Data Sampling) auf Intel-CPUs (CVE-2022-40982)
Beschreibung
Eine Sicherheitslücke namens "Gather Data Sampling" kann zur Offenlegung veralteter Daten führen und Kunden betreffen, die Intel-CPUs verwenden. Erfahren Sie mehr.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter
E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter
close-link