Debian weist im aktuellen Security Advisory DSA-4279-1 auf die Schließung der kürzlich unter der Bezeichnung Foreshadow beziehungsweise L1 Terminal Fault (L1TF) bekannt gewordenen Sicherheitslücken in Intel-CPUs hin. Die geschlossenen Lücken beziehen sich auf die Kennnummern CVE-2018-3620 und CVE-2018-3646. Von den Lücken sind sowohl auf realer Hardware laufende als auch virtualisierte Systeme betroffen.
Bereits länger bekannt
Mehrere Forscher hatten die Schwachstellen in der Art, wie Intel-CPUs bei der spekulativen Ausführung von Anweisungen private Daten zugreifbar machen kann bereits vor Monaten entdeckt. Diese Fehler ähneln der Meltdown-Attacke und betreffen speziell die virtuelle Speicherverwaltung über Pagetables.
Kernel und Microcode
Um diese Schwachstellen vollständig zu schließen, ist es neben dem veröffentlichten Debian-Kernel 4.9.110-3+deb9u3 erforderlich, dass unter Debian »Stretch« der aktualisierte CPU-Microcode in Version 3.20180703.2~deb9u1 aus dem unfreien Repository non-free eingespielt wird. Dazu müssen Anwender kurzzeitig ihre Quellenliste erweitern. Dieser Microcode schließt durch Speculative Store Bypass Disable (SSBD) zusätzlich auch die Lücken Spectre Variante 3a und Variante 4 (CVE-2018-3639).
Anwender von Debian Stable sind aufgerufen, die aktualisierten Pakete schnellstmöglich einzuspielen, um gegen die Lücken geschützt zu sein.
Schreibe einen Kommentar