Sicherheitshinweise zu Meltdown und Spectre

Aus Thomas-Krenn-Wiki
Wechseln zu: Navigation, Suche

Die Sicherheitslücken Meltdown (CVE-2017-5754) und Spectre (CVE-2017-5753, CVE-2017-5715), welche zahlreiche Prozessoren von mehreren Herstellern betreffen, können normalen Benutzern und Programmen, die im sogenannten User Space ausgeführt werden, Zugriff auf Kernel Memory ermöglichen.[1][2][3] Damit können unprivilegierte Nutzer beliebige Daten im Hauptspeicher lesen. Dazu zählen auch Passwörter, Private Keys, Zertifikate und alle sonstigen sensiblen Informationen. Die Sicherheitslücken können zum Teil durch betriebssystem-spezifische Kernel-Updates behoben werden, die jedoch noch nicht für alle Betriebssysteme verfügbar sind. Darüber hinaus sind Firmware-Updates (Microcode-Updates) für betroffene Systeme erforderlich.

Wir aktualisieren diesen Artikel laufend, sobald neue Informationen verfügbar sind.

Sicherheitslücken

Neben den Sicherheitsforschern, welche die Lücken entdeckt haben, haben unter anderem auch Google,[4] Intel und AMD Informationen bereitgestellt, die wir hier zusammenfassen.

Es handelt sich insgesamt um drei Sicherheitslücken:

Die Sicherheitslücken ermöglichen Programmen, die mit normalen eingeschränkten Rechten im sogenannten User Space laufen, einen Zugriff auf geschützte Bereiche des Arbeitsspeichers (Kernel Memory).

FAQs

In den folgenden FAQs fassen wir die wichtigsten Fragen und Antworten zu den drei Sicherheitslücken zusammen:

  1. Bin ich von diesen Sicherheitslücken betroffen?
    Ja, mit sehr hoher Wahrscheinlichkeit. Nahezu alle Server und PCs mit x86 Prozessoren von Intel oder AMD sind von der Sicherheitslücke betroffen. Ebenso sind die meisten Smartphones mit ARM-Chips betroffen.
  2. Wie können die Sicherheitslücken von potentiellen Angreifern genutzt werden?
    Die Lücken können nur dann ausgenützt werden, wenn ein potentieller Angreifer die Möglichkeit hat, Code auf einem betroffenen System auszuführen. Hier könnte jedoch bereits der Besuch einer Webseite mit schadhaften Javascript-Code ausreichend sein, um beispielsweise Informationen Ihres PCs abzufragen.
  3. Kann ich mich durch Sicherheitsupdates für mein Betriebssystem schützen?
    Teilweise ja. Updates für Windows, Linux, MacOS und andere Betriebssysteme können die Sicherheitslücken eindämmen. Informationen zur Verfügbarkeit von diesen Updates finden Sie weiter unten. Neben diesen Software-Updates sind auch Firmware/Microcode/BIOS Updates erforderlich.
  4. Können die Probleme alternativ mit Firmware Updates alleine für die Prozessoren behoben werden?
    Obwohl es vom jeweiligen Design eines Prozessors abhängig ist, ob und welche der drei Sicherheitslücken ausgenützt werden können, sind uns bislang keine Firmware (Microcode) Updates für Prozessoren bekannt, welche die Sicherheitslücken ohne Zuhilfenahme von Betriebssystem-Patches schließen könnten.

Betroffene Systeme

Von den Sicherheitslücken sind zumindest Prozessoren von folgenden Herstellern betroffen:

Hersteller Betroffene CPUs Variante 1
(CVE-2017-5753, CVE-2018-3693)
(Spectre)
Variante 2
(CVE-2017-5715)
(Spectre)
Variante 3
(CVE-2017-5754)
(Meltdown)
Informationen
beim Hersteller
AMD Ryzen und Epyc, weitere folgen. Ja Ja[5] (nicht betroffen)[6] [1]
ARM Cortex Serie Abhängig von jeweiliger CPU, Details siehe die Informationen beim Hersteller [2]
Intel CPUs mit Out-Of-Order Execution (CPUs seit 1995, ausgenommen Itanium und Intel Atom vor 2013) Ja (siehe INTEL-OSS-10002) Ja (siehe INTEL-SA-00088) Ja (siehe INTEL-OSS-10003) [3]

Problemlösung

Das Problem kann zumindest zum Teil durch eine vollständige Isolation des Kernel Memory vom User Process gelöst werden. Diese Isolation kann zu Performance-Einbußen führen.[7][8] Intel hat Benchmark-Ergebnisse zu Meltdown/Spectre veröffentlicht, die Performance-Einbußen können bis zu 10 Prozent betragen. Bei SSD-Systemen noch deutlich höher.[9]

BIOS Updates

Zum Schließen der Sicherheitslücke sind für Intel CPUs neben Betriebssystem-Updates auch Microcode Updates erforderlich.[10] Da eine CPU selbst über keinen dauerhaften Speicher verfügt, wird der Microcode zusammen mit dem BIOS/UEFI-Firmware Code am Mainboard gespeichert.[11][12][13]

Der Artikel BIOS Sicherheitsupdates zeigt verfügbare UEFI-Firmware/BIOS Sicherheitsupdates für Mainboards von Thomas-Krenn.

Weitere Hardware

Reaktionen von weiteren Hardware-Herstellern zum Thema Meltdown und Spectre:

Sicherheitsupdates für Betriebssysteme

Aktuell sind folgende Informationen zu Patches verfügbar:

Betriebssystem Version Sicherheitsupdate
Debian GNU/Linux Fix für CVE-2017-5754 (Meltdown) für Wheezy, Jessie, Stretch und Sid verfügbar, weitere Updates in Arbeit (siehe [4], [5], [6])
FreeBSD Fix für CVE-2017-5754 (Meltdown) und CVE-2017-5715 (Spectre Variant 2) in Arbeit (siehe [7], [8] und [9])
Linux vanilla Kernel 4.14 4.14.11[14] (Problemlösung für CVE-2017-5754 (Meltdown) durch Kernel page-table isolation[15])
4.14.14[16] (Problemlösung für CVE-2017-5715 (Spectre Variant 2, durch retpoline)
4.14.18[17] (Problemlösungen für CVE-2017-5753 (Spectre Variant 1, durch Array index speculation blocker) und CVE-2017-5715 (Spectre Variant 2, durch neue Prozessor-Flags IBRS, STIBP und IBPB)
4.15 4.15-rc6[18] (Problemlösung für CVE-2017-5754 (Meltdown) durch Kernel page-table isolation)
4.15.2[19] (Problemlösungen für CVE-2017-5753 (Spectre Variant 1, durch eine Methode Array index speculation blocker) und CVE-2017-5715 (Spectre Variant 2, durch neue Prozessor-Flags IBRS, STIBP und IBPB)
Microsoft Windows Windows Server 2008 R2, 2012 R2, 2016
Windows 10
  • Updates verfügbar (siehe [10] und [11])[20][21]
  • Update deaktiviert Schutz gegen Spectre Variant 2[22]
Proxmox ([12]) Proxmox VE 5.x pve-kernel (4.13.13-34)
Proxmox VE 4.x pve-kernel (4.4.98-102)
Red Hat Enterprise Linux RHEL 5, 6, 7 Kernel-Updates verfügbar, libvirt/qemu-kvm/... in Arbeit (siehe [13])
SUSE ([14]) SLES 11, 12
  • Kernel-Updates für SLES 12 SP1/SP2/SP3, SLES 12 GA und SLES 11 SP4 verfügbar
  • Kernel-Updates für SLES 11 SP3 teilweise verfügbar
  • (siehe [15], [16], [17])
Ubuntu Linux Updates verfügbar (siehe [18] und [19])
VMware ESXi 5.5, 6.0, 6.5 Updates verfügbar (VMSA-2018-0002, 2.1, 04, 04.1, 4.2)
Xen (alle Versionen) Updates in Arbeit ([20], [21])
Xenserver ([22]) 7.0, 7.1 LTSR CU1, 7.2, 7.3 Updates verfügbar (Citrix XenServer Multiple Security Updates, 7.0, 7.1, 7.2, 7.3)

(Tabelle zuletzt aktualisiert am 09.02.2018 um 15:19h)

Einzelnachweise

  1. Meltdown and Spectre - Bugs in modern computers leak passwords and sensitive data (meltdownattack.com)
  2. Today's CPU vulnerability: what you need to know (security.googleblog.com, 03.01.2018)
  3. 'Kernel memory leaking' Intel processor design flaw forces Linux, Windows redesign (www.theregister.co.uk, 02.01.2018): [...] At worst, the hole could be abused by programs and logged-in users to read the contents of the kernel's memory. Suffice to say, this is not great. The kernel's memory space is hidden from user processes and programs because it may contain all sorts of secrets, such as passwords, login keys, files cached from disk, and so on. Imagine a piece of JavaScript running in a browser, or malicious software running on a shared public cloud server, able to sniff sensitive kernel-protected data. [...]
  4. Project Zero: Reading privileged memory with a side-channel (googleprojectzero.blogspot.com, 03.01.2018)
  5. AMD Processor Security (amd.com, 11.01.2018) AMD will make optional microcode updates available to our customers and partners for Ryzen and EPYC processors starting this week. We expect to make updates available for our previous generation products over the coming weeks.
  6. (PATCH) x86/cpu, x86/pti: Do not enable PTI on AMD processors (lkml.org, 26.12.2017): AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. [...]
  7. KAISER: hiding the kernel from user space (lwn.net, 15.11.2017): Since the beginning, Linux has mapped the kernel's memory into the address space of every running process. There are solid performance reasons for doing this, and the processor's memory-management unit can ordinarily be trusted to prevent user space from accessing that memory. More recently, though, some more subtle security issues related to this mapping have come to light, leading to the rapid development of a new patch set that ends this longstanding practice for the x86 architecture. [...] KAISER will affect performance for anything that does system calls or interrupts: everything. Just the new instructions (CR3 manipulation) add a few hundred cycles to a syscall or interrupt. Most workloads that we have run show single-digit regressions. 5% is a good round number for what is typical. The worst we have seen is a roughly 30% regression on a loopback networking test that did a ton of syscalls and context switches.
  8. Initial Benchmarks Of The Performance Impact Resulting From Linux's x86 Security Changes (www.phoronix.com, 02.01.2018)
  9. Intel-Benchmarks zu Meltdown/Spectre: Performance sackt um bis zu 10 Prozent ab, SSD-I/O deutlich mehr (heise.de, 11.01.2017)
  10. Facts about The New Security Research Findings and Intel Products (www.intel.com): We have begun providing software and firmware updates to mitigate these exploits. End users and systems administrators should check with their operating system vendors and system manufacturers, and apply any updates as soon as they are available.
  11. Security Vulnerabilities Regarding Side Channel Speculative Execution and Indirect Branch Prediction Information Disclosure (www.supermicro.com)
  12. ASUS Motherboards Microcode Update for Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method (asus.com)
  13. ASUS Servers and Workstations Microcode Update for Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method (asus.com)
  14. ChangeLog-4.14.11 (cdn.kernel.org) [...] x86/mm/pti: Add Kconfig [...] Finally allow CONFIG_PAGE_TABLE_ISOLATION to be enabled. [...]
  15. Kernel page-table isolation (en.wikipedia.org)
  16. ChangeLog-4.14.14 (cdn.kernel.org)
  17. ChangeLog-4.14.18 (cdn.kernel.org)
  18. Linux 4.15-rc6 (lwn.net)
  19. ChangeLog-4.15.2
  20. Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates (heise.de, 04.01.2018) [...] Außerdem will Microsoft wohl noch am heutigen Donnerstag ein Security-Update für Windows veröffentlichen. [...]
  21. Windows 17035 Kernel ASLR/VA Isolation In Practice (like Linux KAISER) (twitter.com)
  22. Update to Disable Mitigation against Spectre, Variant 2 (support.microsoft.com)

Weitere Informationen

Änderungshistorie dieses Artikels

  • Version 1.0, 03.01.2018: Initiale Version mit ersten Informationen basierend auf den Artikeln von heise.de und theregister.co.uk.
  • Version 1.1, 04.01.2018: Umfangreiche Aktualisierungen durchgeführt und erste Informationen zu Betriebssystemupdates ergänzt.
  • Version 1.2, 04.01.2018: Informationen zu SUSE ergänzt.
  • Version 2.0, 04.01.2018: Verweise zu offiziellen Statements von Intel ergänzt, Update Hinweise für Microsoft Windows ergänzt, Möglichkeit von erforderlichen Firmware-Updates ergänzt.
  • Version 2.1, 05.01.2018: Informationen zu Updates von Betriebssystemen aktualisiert, Informationen zu Microcode Update ergänzt.
  • Version 2.2, 08.01.2018: Informationen zu Updates von Betriebssystemen aktualisiert, Liste mit betroffenen Mainboards für Microcode Update angekündigt.
  • Version 2.3, 09.01.2018: Informationen zu Updates von FreeBSD aktualisiert.
  • Version 3.0, 09.01.2018: Tabelle mit Mainboards ergänzt.
  • Version 3.1, 09.01.2018: Information zu weiterer Hardware und zu Proxmox ergänzt.
  • Version 3.2, 10.01.2018: Informationen zu Updates von Ubuntu aktualisiert (Fix für CVE-2017-5754 verfügbar).
  • Version 3.3, 10.01.2018: Informationen zu Updates von VMware aktualisiert.
  • Version 3.4, 10.01.2018: Informationen zu Updates von Debian aktualisiert.
  • Version 3.5, 11.01.2018: Informationen zu Updates von Xenserver aktualisiert.
  • Version 3.6, 11.01.2018: Informationen zu Benchmark-Ergebnissen von Intel Systemen ergänzt.
  • Version 3.7, 11.01.2018: Informationen zu AMD CPUs sowie zu BIOS Updates aktualisiert (X11DPi-N(T) verfügbar, LES Systeme ergänzt, ASUS Server-Systeme aktualisiert).
  • Version 3.8, 15.01.2018: Informationen zu Updates von Ubuntu aktualisiert (Fix für Spectre für Ubuntu 17.10 artful-proposed verfügbar).
  • Version 3.9, 15.01.2018: Informationen zu AMD-basierten Systemen ergänzt.
  • Version 3.10, 16.01.2018: Informationen zu BIOS Updates aktualisiert (ASUS P10S-I verfügbar).
  • Version 3.11, 16.01.2018: Tabelle zu AMD-basierten Systemen ergänzt.
  • Version 3.12, 16.01.2018: Informationen zu BIOS Updates aktualisiert (ASUS H270M-Plus verfügbar).
  • Version 3.13, 17.01.2018: Informationen zu BIOS Updates aktualisiert (ASUS P10S-M verfügbar).
  • Version 3.14, 18.01.2018: Informationen zu BIOS Updates aktualisiert (Supermicro X11SSH-F, X11SSH-LN4F und X11SSH-TF verfügbar), Informationen zu den Betriebssystemen aktualisiert.
  • Version 3.15, 18.01.2018: Für ARM-CPUs auf Herstellerinformationen verwiesen, Informationen zu Updates von Ubuntu aktualisiert, Reaktion von Open-E ergänzt, Informationen zu Skylake BIOS Updates ergänzt.
  • Version 4.0, 23.01.2018: Derzeit verfügbare BIOS Updates laut der aktuellen Empfehlung von Intel nicht installieren, Hinweise zu BIOS Downloads ergänzt, Microcode Prüfung läuft.
  • Version 4.1, 23.01.2018: Informationen zur aktuellen Empfehlung von Intel erweitert.
  • Version 4.2, 24.01.2018: Informationen zu Betriebssystem Updates aktualisiert.
  • Version 4.3, 25.01.2018: Informationen zur aktuellen Empfehlung von Intel erweitert, BIOS Updates entfernt.
  • Version 4.4, 29.01.2018: Informationen zu Windows ergänzt, Update deaktiviert Schutz gegen Spectre Variant 2
  • Version 4.5, 09.02.2018: Informationen zum Linux Vanilla Kernel aktualisiert, Schutz gegen Spectre Variant 1 und 2 eingeführt beziehungsweise verbessert.
  • Version 4.6, 21.02.2018: Intel hat Microcode für Skylake / Kaby Lake / Coffee Lake für OEMs veröffentlicht.
  • Version 5.0, 28.02.2018: Informationen zu BIOS Update für AMD EPYC System aktualisiert (Supermicro H11DSi-NT verfügbar).
  • Version 5.1, 08.03.2018: Informationen zum Supermicro X11SPL-F und H11DSi-NT aktualisiert.
  • Version 5.2, 08.03.2018: Hinweis zum Supermicro X11SPL-F nicht mehr gültig.
  • Version 5.3, 13.03.2018: Informationen zu BIOS-Updates mit erneuertem Microcode ergänzt, erstes BIOS bei Thomas-Krenn im Test.
  • Version 5.4, 14.03.2018: Informationen zu BIOS Updates aktualisiert (X11DPi-N und X11DPi-NT verfügbar).
  • Version 5.5, 19.03.2018: Informationen zu BIOS Updates aktualisiert (X10SRi-F, X10DRi, X10DRL-i und X11DPL-i verfügbar).
  • Version 5.6, 21.03.2018: Informationen zu BIOS Updates aktualisiert (X10DRG-Q und X10DRi-T verfügbar).
  • Version 5.7, 10.04.2018: Informationen zu BIOS Updates aktualisiert (P10S-I verfügbar).
  • Version 5.8, 12.04.2018: Informationen zu BIOS Updates aktualisiert (X11S* Tests eingeplant).
  • Version 5.9, 18.04.2018: Informationen zu BIOS Updates aktualisiert (X11SSH-F, X11SSH-LN4F und X11SSH-TF verfügbar).
  • Version 5.10, 20.04.2018: Informationen zu BIOS Updates aktualisiert (X10SLH-F verfügbar).
  • Version 5.11, 16.05.2018: Informationen zu BIOS Updates aktualisiert (X10DRC-LN4+ verfügbar).
  • Version 5.12, 05.06.2018: Informationen zu BIOS Updates aktualisiert (LES v3 verfügbar).
  • Version 5.13, 06.06.2018: Informationen zu BIOS Updates aktualisiert (LES v2, LES LI3Z, LES Network und LES Network+ verfügbar).
  • Version 5.14, 10.07.2018: Tabellen entfernt und in einen zusätzlichen Wikiartikel ausgelagert, Links ergänzt.
  • Version 5.15, 16.08.2018: Bounds Check Bypass Store (CVE-2018-3693) ergänzt.


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer, tätig im Bereich Knowledge Transfer bei Thomas-Krenn, hat sein Studium zu Computer- und Mediensicherheit an der FH Hagenberg abgeschlossen. Er ist regelmäßig Autor in Fachzeitschriften und Speaker bei Konferenzen wie LinuxCon, OSDC, OSMC, LinuxTag u.v.m. Seine Freizeit gestaltet er sehr abwechslungsreich. In einem Moment absolviert er seinen Abschluss im Klavierspielen, im anderen läuft er beim Linzmarathon in der Staffel mit oder interessiert sich für OpenStreetMap.


Foto Thomas Niedermeier.jpg

Autor: Thomas Niedermeier

Thomas Niedermeier, Abteilung Product Management bei Thomas-Krenn, absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich hier vor allem um die Pflege des Thomas-Krenn-Wikis.


Das könnte Sie auch interessieren

DMA Coalescing
Erstellen eines Intel Onboard RAIDs
Skylake