ClickCease Zombieload - Kritisches Linux CVE betrifft fast alle Intel-CPUs - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Zombieload - Kritisches Linux CVE betrifft fast alle Intel-CPUs

10. Juni 2019. TuxCare PR Team

Kritische MDS betrifft fast alle Intel-CPUs
Inhalt

  1. Was ist die Zombieload-Schwachstelle?
  2. Was ist ein MDS-Angriff?
  3. Welche CPUs sind von Zombieload betroffen?
  4. Wie kann die MDS/Zombieload-Schwachstelle entschärft werden?
  5. Zeitplan für die Veröffentlichung von MDS/Zombieload-Schwachstellenpatches

 

Was ist die Zombieload-Schwachstelle?

Linux-Schwachstellen werden immer mehr zu Berühmtheiten, mit verrückten Namen und eigenen Websites.

Die neuesten Schwachstellen sind Zombieload, RIDL und Fallout, auch bekannt als Microarchitectural Data Sampling (kurzMDS ), die von Intel entdeckt und von akademischen Abteilungen sicherheitsorientierter Einrichtungen auf der ganzen Welt erforscht wurden. Bei diesen Schwachstellen handelt es sich wie bei Spectre und Meltdown um Designfehler, die Daten offenlegen. Zombieload ist besonders besorgniserregend, weil es alle Intel Core- und Xeon-CPUs betrifft, die seit 2011 hergestellt wurden.

 

Was ist ein MDS-Angriff?

Der MDS-Angriff (Microarchitectural Data Sampling ) ist eine Angriffsart, die private Daten offenlegen kann, indem sie die Datenschutzgrenzen zwischen Anwendungen durchbricht.

Sehen Sie sich das Video mit den Erkenntnissen zu MDS von Igor Seletskiy unten an, oder scrollen Sie nach unten, um eine Anleitung zu erhalten, wie Sie die MDS/Zombieload-Schwachstelle ohne Neustart entschärfen können.

 

{% video_player "embed_player" overrideable=False, type='scriptV4′, hide_playlist=True, viral_sharing=False, embed_button=False, autoplay=False, hidden_controls=False, loop=False, muted=False, full_width=False, width='2116′, height='1076′, player_id='10326507854′, style=" %}

 

Es gibt vier verschiedene Schwachstellenregistrierungen, die zusammen einen Zombieload-Exploit möglich machen: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und CVE-2019-11091. Schauen Sie sich die Codes an, und Sie werden feststellen, dass drei davon im letzten Jahr registriert wurden. Das Problem wurde unter Verschluss gehalten, eine Praxis, die als Coordinated Disclosure bekannt ist, um zu verhindern, dass "schlechte Akteure" Schwachstellen ausnutzen, bevor der Rest von uns sich dagegen verteidigen kann. Microsoft, Amazon AWS und Google haben das Problem in ihren Rechenzentren entschärft, da sie zum "inneren Kreis" der Unternehmen gehören, die von der Vorankündigung solcher Probleme profitieren. Alle anderen müssen auf ein Update von ihrem Betriebssystemhersteller warten.

 

Welche CPUs sind von Zombieload betroffen?

Die Forscher hinter ZombieLoad: Cross-Privilege-Boundary Data Sampling"-Studie haben mehrere Intel-CPUs getestet und herausgefunden, dass mindestens die folgenden CPUs für Zombieload und den Rest des MDS-Pakets von Sicherheitslücken anfällig sind:

CPU (schrittweise) µ-Bogen.
Kern i7-3630QM (E1) Ivy Bridge
Labor Core i7-6700K (R0) Skylake-S
Labor Core i5-7300U (H0) Kaby Lake
Labor Core i7-7700 (B0) Kaby Lake
Labor Core i7-8650U (Y0) Kaby Lake-R
Labor Core i7-8565U (W0) Whiskey See
Labor Core i7-8700K (U0) Kaffee See-S
Labor Core i9-9900K (P0) Kaffee-See-R
Labor Xeon E5-1630 v4 (R0) Broadwell-EP
Cloud Xeon E5-2670 (C2) Sandy Bridge-EP
Wolke Xeon Gold 5120 (M0) Skylake-SP
Wolke Xeon Platinum 8175M (H0) Skylake-SP
Cloud Xeon Gold 5218 (B1) Cloud Xeon Gold 5218 (B1)

 

 

Wie man die MDS/Zombieload-Schwachstelle entschärft

Wenn Sie mit Hardware arbeiten:

Um diese Schwachstelle zu entschärfen, müssen Sie 3 Schritte durchführen, die keinen Neustart erfordern, wenn Sie die folgenden Anweisungen befolgen:

Schritt 1: Microcode ohne Neustart aktualisieren

Microcode ist der Code, der in der CPU selbst läuft und von Intel verwaltet wird. Die Aktualisierung des Mikrocodes erfolgt in der Regel bei einem Neustart: Sie erhalten den neuen Kernel, der einen neuen Mikrocode enthält, und wenn der Kernel bootet, wird der neue Mikrocode in der CPU installiert. Sie können den Microcode auch ohne Neustart aktualisieren , indem Sie unsere Anleitung verwenden.

Schritt 2: Hyperthreading ohne Neustart deaktivieren

Wenn Sie das simultane Multithreading (SMT) der CPU nicht deaktivieren, haben Sie immer noch das Problem, dass Angreifer die Daten derselben CPU lesen können. Mit KernelCare können Sie Hyperthreading ohne einen Neustart deaktivieren , indem Sie unsere Anweisungen verwenden.

Schritt 3: KernelCare-Patches anwenden

Auch wenn Sie die Schritte 1 und 2 ausgeführt haben, müssen Sie den Linux-Kernel aktualisieren, um sicherzustellen, dass der lokale Benutzer die Daten, die Sie auf der CPU ausführen, nicht lesen kann. Mit KernelCare können Sie das tun, ohne neu zu booten. Registrieren Sie sich für das kostenlose 7-Tag-Testversion.

Wenn Sie mit einer virtuellen Maschine arbeiten:

Sie müssen nur den Linux-Kernel innerhalb der VM patchen. Vergewissern Sie sich, dass Ihr Host-Knoten ebenfalls aktualisiert wurde, was in der Regel von Ihrem Dienstanbieter durchgeführt wird.

Wenn Sie Ihr KernelCare verwenden, werden Ihre Patches automatisch von KernelCare bereitgestellt und Sie müssen nichts weiter tun. Wenn nicht, ist jetzt der richtige Zeitpunkt, um sich für das kostenlose 7-Tag-Testversion.

 

KernelCare hat am Freitag, den 17. Mai, mit dem Testen von Live-Patches für MDS begonnen, die nun für alle Hauptdistributionen zur Verfügung stehen und weitere in Kürze folgen werden. Für die neuesten Nachrichten, folgen Sie uns auf @KernelCare.

Erhalten Sie eine KOSTENLOSE 7-Tage-Testversion von KernelCare 

 

 

Zeitplan für die Veröffentlichung von MDS/Zombieload-Schwachstellenpatches

Aktualisiert Montag, 10. Juni

Der Zeitplan für die Veröffentlichung von KernelCare-Patches ist unten aufgeführt. Der Zeitplan für die Veröffentlichung kann sich ändern. Schauen Sie regelmäßig hier nach oder wenden Sie sich an unseren Helpdesk.

Freigabe zur Produktion:

  • CentOS 6
  • CentOSPlus für CentOS 6
  • CloudLinux OS 6
  • Debian 8
  • Debian 9
  • Ubuntu 14.04 LTS (Trusty Tahr)
  • Ubuntu 16.04 LTS (Xenial Xerus)
  • Ubuntu 18.04 LTS (Bionic Beaver)
  • Oracle Enterprise Linux 6
  • Oracle Enterprise Linux 7
  • Oracle UEK 3
  • Oracle UEK 4
  • Oracle UEK 5
  • OpenVZ
  • Proxmox VE
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Amazon Linux 1
  • Amazon Linux 2

Die Patches aus dem Produktionsfeed werden automatisch angewendet.

Freigegeben für den Testfeed:

  • CentOS 7
  • CentOSPlus für CentOS 7
  • Wolke Linux 6 hybrid

Um Patches aus dem Testfeed zu installieren, führen Sie den Befehl aus:

kcarectl --test --update

Wenn Produktionsaktualisierungen verfügbar sind, verwendet KernelCare automatisch den regulären Feed.

Fällig in Woche 24:

  • CentOS 7
  • CentOSPlus für CentOS 7
  • CloudLinux OS 7
  • Oracle Enterprise Linux

Lesen Sie mehr darüber, wie KernelCare andere kritische Schwachstellen behebt:

  1. Zombieload 2: Das KernelCare-Team ist dabei!
  2. SWAPGS: KernelCare-Patches sind auf dem Weg
  3. SACK-Panik und Langsamkeit: KernelCare Live-Patches sind da
  4. RIDL - Ein weiterer MDS-Angriff, vor dem Live-Patching Sie gerettet hätte
  5. Fallout - der MDS-Seitenkanalangriff, der nicht Zombieload ist
  6. QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape-Schwachstelle
  7. CVE-2018-1000199 Patches
  8. Intel DDIO 'NetCat' Sicherheitslücke

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter