ClickCease Zombieload 2: Das KernelCare-Team ist dabei! - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Zombieload 2: Das KernelCare-Team ist dabei!

13. November 2019. TuxCare PR Team

Zombieload2

Wir haben gerade von einer neuen Reihe von Intel-CPU-Schwachstellen erfahren, und wir möchten, dass Sie wissen, dass das KernelCare-Team in Aktion getreten ist, um Patches für sie zu erstellen.
Abonnieren Sie unseren Blog, um immer auf dem Laufenden zu bleiben.

Die Schwachstellen sind wie folgt.

 

1. CVE-2019-11135: Asynchroner TSX-Abbruch (TAA)

Dies betrifft Intel-Chips mit der Funktion Transactional Synchronization Extensions (TSX).

Sie ähnelt früheren MDS-Schwachstellen. Wenn Sie also Abhilfemaßnahmen für MDS getroffen haben, sind Sie auch vor dieser Sicherheitslücke sicher.

Wenn Sie jedoch eine neuere Intel-CPU mit aktiviertem TSX haben, die nicht von MDS betroffen ist, müssen Sie den Mikrocode Ihrer CPU aktualisieren und den Kernel patchen.

 

AKTUALISIERUNG VOM MONTAG, 18. NOVEMBER

 

TSA (CVE-2019-11135) wird durch MDS-Abschwächung auf allen von KernelCare unterstützten Kerneln beseitigt. KernelCare erzwingt MDS auf allen CPUs, die nicht in der White-List aufgeführt sind. Derzeit gibt es keine von TSA betroffenen CPUs in dieser White-List, so dass keine zusätzlichen Patches von KernelCare erforderlich sind, um TSA zu entschärfen. Wir empfehlen denjenigen, deren CPUs von TSA betroffen sind, ein Update auf den neuesten CPU-Mikrocode ihres Herstellers durchzuführen.

 

2. CVE-2018-12207: Fehler bei der Prozessor-Maschinenprüfung (MCEPSC oder iTLB multihit)

Die Sicherheitslücke "Processor Machine Check Error" betrifft virtualisierte Umgebungen.

Die Ausnutzung dieser Schwachstelle kann dazu führen, dass sich das Hostsystem aufhängt, wenn Extended Page Tables (EPT) aktiviert sind.

 

AKTUALISIERUNG VOM MONTAG, 2. DEZEMBER

 

Das KernelCare Team hat Centos7, Centos7-Plus, RHEL7, OEL 7 Patches für CVE-2018-12207 im Testfeed veröffentlicht. Der KernelCare-Testfeed ermöglicht es, neue Patches früher zu verwenden.

Um Patches aus dem Testfeed zu installieren, führen Sie den Befehl aus:

kcarectl -test -update

 

Wenn Produktionsaktualisierungen verfügbar sind, verwendet KernelCare automatisch den regulären Feed.

Abonnieren Sie unseren Blog, um über die neuesten Patches in der Produktion informiert zu werden.

 

3. CVE-2019-0155, CVE-2019-0154: i915-Grafikhardware

CVE-2019-0155 kann einem nicht privilegierten Benutzer erhöhte Systemprivilegien verleihen.

CVE-2019-0154 kann es einem nicht privilegierten Benutzer ermöglichen, das System aufzuhängen (und damit eine DoS-Situation zu schaffen), indem er von bestimmten Speicherplätzen (MMIO-Registern) liest, wenn die Energieverwaltung der Grafikkarte in einen bestimmten Zustand minimaler Energienutzung übergeht.

 

Was wir tun

Wie bei allen größeren Sicherheitslücken beginnen die Entwickler und Analysten, sobald das KernelCare-Überwachungsteam davon erfährt, mit der detaillierten Untersuchung, Bewertung, Entwicklung und Programmierung von Patches für unsere KernelCare Linux-Kernel-Live-Patching-Software.

Wir werden am kommenden Freitag, dem 29. November,mit der Auslieferung der ersten Patches beginnen. Wir werden an dieser Stelle über die Fortschritte berichten und Anweisungen für die Migration und die Standorte der Patches bereitstellen, sobald diese fertig sind. Abonnieren Sie unseren Blog, um sofortige Updates zu erhalten.

Erhalten Sie eine KOSTENLOSE 7-Tage-Testversion von KernelCare 

 

Lesen Sie mehr:

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter