Zombieload 2: Patches für CentOS, RHEL & OEL sind fertig

KernelCare Team hat Centos7, Centos7-Plus, RHEL7, OEL 7 Patches für CVE-2018-12207 für die Produktion freigegeben.

KernelCare-Benutzer erhalten die Patches automatisch. Wenn Sie die Patches aus dem Test-Feed installiert haben, werden die Produktionsupdates automatisch angewendet.

Wir arbeiten zur Zeit an den Patches für die restlichen Distributionen.

Abonnieren Sie unseren Blog, um über die neuesten Patches in der Produktion informiert zu werden.

Erhalten Sie eine KOSTENLOSE 7-Tage-Testversion von KernelCare 

Über CVE-2018-12207: Prozessor-Maschinenprüfungsfehler (MCEPSC oder iTLB-Multihit)

Die Sicherheitslücke "Processor Machine Check Error" betrifft virtualisierte Umgebungen.

Die Ausnutzung dieser Schwachstelle kann dazu führen, dass sich das Hostsystem aufhängt, wenn Extended Page Tables (EPT) aktiviert sind.

Andere CVEs aus Zombieload2 Set von Schwachstellen:

1. CVE-2019-11135: Asynchroner TSX-Abbruch (TAA)

Dies betrifft Intel-Chips mit der Funktion Transactional Synchronization Extensions (TSX).

Sie ähnelt früheren MDS-Schwachstellen. Wenn Sie also Abhilfemaßnahmen für MDS getroffen haben, sind Sie auch vor dieser Sicherheitslücke sicher.

Wenn Sie jedoch eine neuere Intel-CPU mit aktiviertem TSX haben, die nicht von MDS betroffen ist, müssen Sie den Mikrocode Ihrer CPU aktualisieren und den Kernel patchen.

TSA (CVE-2019-11135) wird durch MDS-Abschwächung auf allen von KernelCare unterstützten Kerneln beseitigt. KernelCare erzwingt MDS auf allen CPUs, die nicht in der White-List aufgeführt sind. Derzeit gibt es keine von TSA betroffenen CPUs in dieser White-List, so dass keine zusätzlichen Patches von KernelCare erforderlich sind, um TSA zu entschärfen. Wir empfehlen denjenigen, deren CPUs von TSA betroffen sind, ein Update auf den neuesten CPU-Mikrocode ihres Herstellers durchzuführen.

2. CVE-2019-0155, CVE-2019-0154: i915-Grafikhardware

CVE-2019-0155 kann einem nicht privilegierten Benutzer erhöhte Systemprivilegien verleihen.

CVE-2019-0154 kann es einem nicht privilegierten Benutzer ermöglichen, das System aufzuhängen (und damit eine DoS-Situation zu schaffen), indem er von bestimmten Speicherplätzen (MMIO-Registern) liest, wenn die Energieverwaltung der Grafikkarte in einen bestimmten Zustand minimaler Energienutzung übergeht.

Was wir tun

Wie bei allen größeren Sicherheitslücken beginnen die Entwickler und Analysten, sobald das KernelCare-Überwachungsteam davon erfährt, mit der detaillierten Untersuchung, Bewertung, Entwicklung und Programmierung von Patches für unsere KernelCare Linux-Kernel-Live-Patching-Software.

Wir haben mit der Auslieferung der ersten Patches begonnen Wir werden an dieser Stelle über die Fortschritte berichten und Anweisungen für die Migration sowie die Standorte der Patches bereitstellen, sobald diese fertig sind. Abonnieren Sie unseren Blog, um sofortige Updates zu erhalten.