Microarchitectural Data Sampling - ZombieLoad

Am 14. Mai 2019 wurden von Intel Informationen zu vier CPU Sicherheitslücken im Microarchitectural Data Sampling Advisory ("ZombieLoad") veröffentlicht. Zum Schutz vor den Sicherheitslücken muss der Intel Microcode und der Betriebssystem-Kernel aktualisiert werden. Je nach Einsatzbereich können noch Updates für Qemu und Libvirt erforderlich sein. Zeitgleich hat Intel weitere Updates im Zuge des 2019.1 QSR (Quarterly Security Release) veröffentlicht - Informationen dazu sind im Wiki Artikel Sicherheitshinweise zu Intel Produkten 2019-05-14 2019.1 QSR zu finden.

CVEs

Detailinformationen zu den folgenden CVEs sind bei Intel im Advisory INTEL-SA-00233 zu finden:^[1]

Microarchitectural Store Buffer Data Sampling (MSBDS) - CVE-2018-12126
Microarchitectural Load Port Data Sampling (MLPDS) - CVE-2018-12127
Microarchitectural Fill Buffer Data Sampling (MFBDS) - CVE-2018-12130
Microarchitectural Data Sampling Uncacheable Memory (MDSUM) – CVE-2019-11091

Microcode Updates

Informationen zu den Microcode Updates hat Intel in einem Microcode Update Guidance veröffentlicht:

Microcode Revision Guidance SA00233 (www.intel.com)

Microcode Updates können über das Betriebssystem eingespielt werden. Wir erweitern laufend die folgende Liste mit Updates:

USN-3977-1: Intel Microcode update (ubuntu.com)
Summary of Intel microcode updates (support.microsoft.com)
VMware Security Advisory VMSA-2019-0008 (vmware.com)
SUSE addresses Microarchitectural Data Sampling Vulnerabilities (suse.com)
MDS - Microarchitectural Data Sampling - CVE-2018-12130, CVE-2018-12126, CVE-2018-12127, and CVE-2019-11091 (access.redhat.com)
Debian Security Advisory DSA-4444-1 linux -- security update (debian.org)

Microcode Updates mit intel-microcode Paket

Die intel-microcode Pakete für die unterschiedlichen Linux-basierten Betriebssysteme wurden kürzlich aktualisiert.

Unter Ubuntu 18.04.2 LTS wird derzeit die folgende Version installiert:^[2]

$ dpkg -l |grep intel-microcode
ii  intel-microcode                       3.20190514.0ubuntu0.18.04.2                 amd64        Processor microcode firmware for Intel CPUs

Der Microcode wurde für die Intel Xeon E3-1230 v6 CPU durch dieses neue intel-microcode Paket aktualisiert:

$ dmesg | grep -i microcode
[    0.000000] microcode: microcode updated early to revision 0xb4, date = 2019-04-01
[    1.336539] microcode: sig=0x906e9, pf=0x2, revision=0xb4
[    1.343659] microcode: Microcode Update Driver: v2.2.

In der oben verlinkten Intel Microcode Update Guidance ist für die CPUID 906E9 vermerkt, dass mit der Revision B4 des Microcodes die Sicherheitslücken der Advisory INTEL-SA-00233 behoben wurden.

Microcode Updates über BIOS Updates

Informationen zu den verfügbaren BIOS Updates, welche die erforderlichen Microcode Updates enthalten, finden Sie im Artikel BIOS Sicherheitsupdates.

Performanceauswirkungen

Abhängig vom jeweiligen Workload sind die Auswirkungen durch die Betriebssystem-Patches unterschiedlich. Informationen zu den Performance-Auswirkungen sind in folgendem Artikel von Phoronix nachzulesen:

Spectre/Meltdown/L1TF/MDS Mitigation Costs On An Intel Dual Core + HT Laptop (www.phoronix.com, 21.05.2019)

Wenn auf einem System ausschließlich vertrauenswürdiger Code ausgeführt wird, können die Schutzmaßnahmen im Betriebssystem auch deaktiviert werden. Für Linux sind die entsprechenden Informationen im "Linux kernel user’s and administrator’s guide" hier zu finden:

MDS - Microarchitectural Data Sampling - Mitigation selection guide (www.kernel.org/doc)

Weitere Informationen

Engineering New Protections Into Hardware (www.intel.com)
Neue Sicherheitsluecken in Intel Prozessoren ZombieLoad (heise.de, 14.05.2019)
Neue Linux Kernel schuetzen vor ZombieLoad aka MDS (heise.de, 15.04.2019)
MDS - Microarchitectural Data Sampling (kernel.org/doc)
Intel Product Security Center Advisories (www.intel.com)
Supermicro Security Center (www.supermicro.com)
Intel Quarterly Security Release (QSR) 2019.1, May 2019 (www.supermicro.com)
Security Vulnerabilities Regarding Spectre, Meltdown, and Intel QSR Update (www.supermicro.com)

Einzelnachweise

↑ INTEL-SA-00233 Microarchitectural Data Sampling Advisory (www.intel.com)
↑ intel-microcode 3.20190514.0ubuntu0.18.04.2 source package in Ubuntu (launchpad.net)

Autor: Werner Fischer

Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.

[1] INTEL-SA-00233 Microarchitectural Data Sampling Advisory (www.intel.com)

[2] tel-microcode 3.20190514.0ubuntu0.18.04.2 source package in Ubuntu (launchpad.net)

[1]

[2]