Kurzinfo CB-K18/0010 Update 26

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Mikroprozessoren, Spectre, Meltdown: Drei Schwachstellen ermöglichen Umgehen von Sicherheitsvorkehrungen u. Ausspähen von Informationen
Datum: 28.02.2018
Software: F5 Networks BIG-IP Advanced Firewall Manager (AFM) 11.2.1, F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 11.5.1, F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 11.5.5, F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 11.6.1, F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 11.6.2, F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 12.1.0, F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 12.1.3, F5 Networks BIG-IP Advanced Firewall Manager (AFM) 13.0.0, F5 Networks BIG-IP Advanced Firewall Manager (AFM) 13.1.0, F5 Networks BIG-IP Application Security Manager (ASM) 11.2.1, F5 Networks BIG-IP Application Security Manager (ASM) >= 11.5.1, F5 Networks BIG-IP Application Security Manager (ASM) <= 11.5.5, F5 Networks BIG-IP Application Security Manager (ASM) >= 11.6.1, F5 Networks BIG-IP Application Security Manager (ASM) <= 11.6.2, F5 Networks BIG-IP Application Security Manager (ASM) >= 12.1.0, F5 Networks BIG-IP Application Security Manager (ASM) <= 12.1.3, F5 Networks BIG-IP Application Security Manager (ASM) 13.0.0, F5 Networks BIG-IP Application Security Manager (ASM) 13.1.0, Microsoft SQL Server 2008 R2 SP3 x64, Microsoft SQL Server 2008 R2 SP3 x86, Microsoft SQL Server 2008 SP4 x64, Microsoft SQL Server 2008 SP4 x86, Microsoft SQL Server 2012 SP3 x64, Microsoft SQL Server 2012 SP3 x86, Microsoft SQL Server 2012 SP4 x64, Microsoft SQL Server 2012 SP4 x86, Microsoft SQL Server 2014 SP2 x64, Microsoft SQL Server 2014 SP2 x86, Microsoft SQL Server 2016 x64, Microsoft SQL Server 2016 SP1 x64, Microsoft SQL Server 2017 x64, NVIDIA GPU Driver, NVIDIA GPU Driver < 384.111, NVIDIA GPU Driver < 386.07, NVIDIA GPU Driver < 390.12, NVIDIA GPU Driver < 390.65, WebKitGTK+ < 2.18.5, Apple iOS, Apple macOS, Linux-Kernel, Microsoft Windows , Microsoft Windows Server, Xen
Plattform: SUSE Linux Enterprise High Availability 12 SP2, SUSE Linux Enterprise High Availability 12 SP3, SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE Manager Server 3.0, SUSE Manager Server 3.1, Red Hat CloudForms 4.0, Red Hat CloudForms 4.1, Red Hat CloudForms 4.2, Red Hat CloudForms 4.5, Red Hat Enterprise MRG 2, Red Hat Enterprise Virtualization 3.X Hypervisor and Agents for RHEL-7, Red Hat Enterprise Virtualization 4, Red Hat Enterprise Virtualization 4 Host, F5 Networks BIG-IP Systeme , Meinberg SyncFire, Sophos UTM, Apple iOS, Apple macOS, Canonical Ubuntu Linux 12.04 LTS (ESM), Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 16.10, Canonical Ubuntu Linux 17.04, Canonical Ubuntu Linux 17.10, Citrix NetScaler SDX, Citrix XenServer 6.0.2, Citrix XenServer 6.2.0, Citrix XenServer 6.5, Citrix XenServer 7.0, Citrix XenServer 7.1 LTSR Cumulative Update 1, Citrix XenServer 7.2, Citrix XenServer 7.3, Debian Linux 9.3 Stretch, FreeBSD, IBM AIX 5.3, IBM AIX 6.1, IBM AIX 7.1, IBM AIX 7.2, IBM VIOS 2.2.x, Juniper Junos OS, Microsoft Windows 7 SP1 x64, Microsoft Windows 7 SP1 x86, Microsoft Windows 8.1 x64, Microsoft Windows 8.1 x86, Microsoft Windows 10, Microsoft Windows 10 x86, Microsoft Windows 10 x64 v1511, Microsoft Windows 10 x86 v1511, Microsoft Windows 10 x64 v1607, Microsoft Windows 10 x86 v1607, Microsoft Windows 10 x64 v1703, Microsoft Windows 10 x86 v1703, Microsoft Windows 10 x64 v1709, Microsoft Windows 10 x86 v1709, Microsoft Windows Server v1709 (Server Core Installation), Microsoft Windows Server 2008 SP2 x64 Server Core Installation , Microsoft Windows Server 2008 SP2 x86 Server Core Installation , Microsoft Windows Server 2008 SP2 Itanium, Microsoft Windows Server 2008 SP2 x64, Microsoft Windows Server 2008 SP2 x86, Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation, Microsoft Windows Server 2008 R2 SP1 Itanium, Microsoft Windows Server 2008 R2 SP1 x64, Microsoft Windows Server 2012, Microsoft Windows Server 2012 Server Core Installation, Microsoft Windows Server 2012 R2, Microsoft Windows Server 2012 R2 Server Core Installation, Microsoft Windows Server 2016, SUSE Linux Enterprise Server 12 SP1 LTSS, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP3, Oracle Linux 5, Oracle Linux 6, Oracle Linux 7, Oracle Solaris, Oracle VM Server 3.3, Oracle VM Server 3.4, Red Hat Enterprise Linux for Scientific Computing 6, Red Hat Enterprise Linux 6.7 EUS Compute Node, Red Hat Enterprise Linux 7, Red Hat Enterprise Linux for Real Time 7 , Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.3 EUS Compute Node, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 5 Extended Lifecycle Support, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 6.2 AUS, Red Hat Enterprise Linux Server 6.4 AUS, Red Hat Enterprise Linux Server 6.5 AUS, Red Hat Enterprise Linux Server 6.6 AUS, Red Hat Enterprise Linux Server 6.6 TUS, Red Hat Enterprise Linux Server 6.7 EUS, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.2, Red Hat Enterprise Linux Server 7.2 AUS, Red Hat Enterprise Linux Server 7.2 TUS, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.3, Red Hat Enterprise Linux Server 7.3 AUS, Red Hat Enterprise Linux Server 7.3 EUS, Red Hat Enterprise Linux Server 7.3 TUS, Red Hat Enterprise Linux Server 4 Year Extended Update Support 7.4, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 26, Red Hat Fedora 27, Xen
Auswirkung: Privilegieneskalation
Remoteangriff: Nein
Risiko: hoch
CVE Liste: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
Bezug: Fedora Security Update FEDORA-2018-8ed5eff2c0 (Fedora 26, kernel-4.14.11-200.fc26)
Revisions Historie
  • Version: 31

    Für den SUSE Manager Server 3.1 steht ein Sicherheitsupdate bereit, mittels dem Mitigationen für die Meltdown und Spectre Schwachstellen umgesetzt und insgesamt 51 nicht sicherheitsrelevante Fehler behoben werden.

  • Version: 30

    Für Oracle Linux 5 (i386, x86_64) stehen jetzt auch Sicherheitsupdates für den Kernel 2.6.18 zur Verfügung.

  • Version: 29

    Canonical stellt für Ubuntu Linux 12.04 LTS (ESM) ein Sicherheitsupdate bereit, das die beiden Spectre-Schwachstellen adressiert. Der Distributor weist darauf hin, dass zur vollständigen Mitigation von Spectre Microcode-Updates notwendig sind. Canonical arbeitet dahingehend mit den Herstellern Intel und AMD zusammen. Anwender, die Chips anderer Hersteller verwenden, werden gebeten, sich direkt an diese zu wenden.

  • Version: 28

    Red Hat stellt für Red Hat Enterprise Linux 5 Extended Lifecycle Support für verschiedene Architekturen Sicherheitsupdates für den Kernel zur Mitigation der Schwachstellen zur Verfügung.

  • Version: 27

    Für Oracle VM 3.3 stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in der Version 3.8.13-118.20.2 bereit, um die Schwachstellen zu adressieren. Die Sicherheitsupdates adressieren außerdem die Schwachstelle CVE-2015-5157, welche einem lokalen, nicht authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren und damit das System zu übernehmen oder einen Denial-of-Service (DoS)-Angriff durchzuführen.

  • Version: 26

    Für das 'pxe-default-image' (Preboot Execution Environment, PXE) in SUSE Manager Server 3.0 steht ein Sicherheitsupdate bereit, mit dem nicht näher definierte Mitigationen gegen Spectre und Meltdown umgesetzt werden.

  • Version: 25

    Canonical informiert darüber, dass als Teil der Mitigation 'Retpoline' gegen Spectre Variant 2 (CVE-2017-5715) ein Logic-Fehler in der Implementierung des x86-64-Systemaufrufeintrages (Syscall Entry) eingeführt wurde. Ein lokaler Angreifer kann dies ausnutzen, um einen Denial-of-Service (DoS)-Zustand zu verursachen oder möglicherweise beliebigen Programmcode zur Ausführung zu bringen. Es stehen Sicherheitsupdates für Ubuntu 16.04 LTS für den Linux-Kernel for Microsoft Azure Cloud Systems, Linux-Kernel for Google Cloud Platform (GCP) Systems, Linux Hardware Enablement (HWE) Kernel und Linux-Kernel for OEM Processors sowie für den Linux-Kernel in Ubuntu 17.10 zur Verfügung, um dieses Problem zu beheben. Canonical weist darauf hin, dass aufgrund der unvermeidbaren ABI-Änderungen diese Kernel Updates eine neue Versionsnummer erhalten haben, weshalb alle Third Party Kernel-Module neu kompiliert und installiert werden müssen, soweit dies nicht bei einem Standard-System-Upgrade automatisch erfolgt.

  • Version: 24

    Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in der Version 3.8.13-118.20.2 bereit, um die Schwachstellen zu adressieren. Die Sicherheitsupdates adressieren außerdem die Schwachstelle CVE-2015-5157, welche einem lokalen, nicht authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren und damit das System zu übernehmen oder einen Denial-of-Service (DoS)-Angriff durchzuführen. Canonical stellt für Ubuntu 16.04 LTS ein Sicherheitsupdate für den Linux-Kernel for Cloud Environments (linux-kvm) bereit, um die Spectre-Schwachstellen (CVE-2017-5715, CVE-2017-5753) zu adressieren. Ferner weist Canonical darauf hin, dass für eine vollständige Mitigation von CVE-2017-5715 (Spectre Variant 2) die korrespondierenden Prozessor Microcode / Firmware Updates bzw. in virtuellen Umgebungen die Hypervisor Updates installiert werden müssen. Weiterhin kündigt Canonical an, zukünftig für Benutzer selbst-gehosteter virtueller Umgebungen die entsprechenden QEMU Updates in Verbindung mit Upstream QEMU Versionen zur Verfügung zu stellen.

  • Version: 23

    F5 Networks hat seinen Sicherheitshinweis K91229003 'Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754' aktualisiert und informiert über von den 'Spectre'- und 'Meltdown'-Schwachstellen betroffene Produkte. Unter anderem sind BIG-IP Produkte Advanced Firewall Manager (AFM) und Application Security Manager (ASM) in den Versionen 11.2.1, 11.5.1 - 11.5.5, 11.6.1 - 11.6.2, 12.1.0 - 12.1.3, 13.0.0 und 13.1.0 verwundbar. Es existieren derzeit keine Fixes. Der Hersteller Intel hat eine Microcode Revision Guidance (PDF) mit Empfehlungen für zahlreiche Prozessoren zur Verfügung gestellt.

  • Version: 22

    Microsoft hat aufgrund der bekannt gewordenen Probleme mit dem Intel Microcode mittlerweile ein außerplanmäßiges Sicherheitsupdate bereit gestellt, mit dem die Mitigationen gegen Spectre v2 (CVE-2017-5715) wieder rückgängig gemacht werden (siehe 'Microsoft Update to Disable Mitigation against Spectre, Variant 2'). IBM hat Sicherheitsupdates für AIX 5.3 (64-bit Kernel), 6.1, 7.1 und 7.2 sowie VIOS 2.2.x bereitgestellt, um Maßnahmen gegen CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754 umzusetzen.

  • Version: 21

    Red Hat stellt für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und Linux for Scientific Computing sowie für Compute Node 7.4 Extended Update Support (EUS) und die Server 7.4 Produktversionen Advanced Update Support (AUS), Extended Update Support (EUS), 4 Year Extended Update Support und Telco Update Support (TUS) Sicherheitsupdates für den 'kernel' bereit, durch die erste Mitigationen für IBM Power (PowerPC) und IBM zSeries (S390) Architekturen für die Schwachstellen CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754 zur Verfügung gestellt werden. Die unten referenzierten Schwachstellen (CVE) werden dagegen in der Beschreibung nicht erwähnt. Für Oracle Linux 7 (x86_64) stehen die entsprechenden Sicherheitsupdates für den 'kernel' in Version 3.10.0-693.17.1 bereit, wobei Oracle die Referenzierung der Schwachstellen anscheinend von Red Hat übernommen hat, jedoch im Versionslog ebenfalls nur Mitigationen für die 'Spectre'- und 'Meltdown'-Schwachstellen aufführt.

  • Version: 20

    Für Oracle Linux 5 (i386 und x86_64) und Oracle Linux 6 (i386 und x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in Version 2.6.39-400.298.2 bereit, um die aktuellen Entwicklungen der Schwachstellen Spectre und Meltdown zu berücksichtigen. Zusätzlich wird mit dem Update auch die Schwachstelle CVE-2015-5157 adressiert, welche es einem lokalen, nicht authentisierten Angreifer ermöglicht seine Privilegien zu eskalieren und damit das System zu übernehmen oder einen Denial-of-Service (DoS)-Angriff durchzuführen.

  • Version: 19

    Canonical stellt verschiedene Sicherheitsupdates bereit, um die aktuellen Entwicklungen bei den Schwachstellen Spectre und Meltdown seit den ersten Sicherheitsupdates für Meltdown in Ubuntu Linux vom 10.01.2018 (siehe gesondertes Advisory) zu berücksichtigen. Für Ubuntu 17.10 (Kernel), 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für i386-Architekturen (nur CVE-2017-5753) sowie amd64-, ppc64el- und s390x-Architekturen (beide Spectre-Schwachstellen) zur Verfügung. Zusätzlich werden die ersten Mitigationen gegen Meltdown auch für die ppc64el-Architektur verteilt. Die unterschiedlichen Sicherheitsupdates stehen für Linux-Kernel (inklusive Hardware Enablement Kernel), Amazon Web Services, Intel Euclid, Microsoft Azure, Google Cloud Platform und OEM Prozessoren zur Verfügung. Zwei weitere Sicherheitsupdates zur Mitigation der beiden Spectre-Schwachstellen stehen für den Linux-Kernel in Ubuntu 14.04 LTS und 12.04 LTS auf i386-Architekturen (nur CVE-2017-5753) und amd64-Architekturen zur Verfügung. Canonical weist darauf hin, dass die Mitigation der Schwachstelle CVE-2017-5715 (Spectre 2) korrespondierende Microcode- oder Firmware-Updates erfordert. Der Distributor arbeitet laut Eigenaussage dahingehend mit Intel und AMD zusammen. Für davon nicht abgedeckte Prozessoren wird auf die jeweiligen Hersteller verwiesen.

  • Version: 18

    Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in Version 4.1.12-94.7.8 bereit.

  • Version: 17

    Microsoft hat seinen Sicherheitshinweis ADV180002 erneut aktualisiert, um über die Verfügbarkeit des neuen Sicherheitsupdates 4073291 für die 32-bit (x86) Version von Windows 10 Version 1709 zur Mitigation der Schwachstelle CVE 2017-5754 ('Meltdown') zu informieren, welches zeitnah installiert werden sollte. Microsoft arbeitet an Updates für weitere unterstützte 32-bit (x86) Windows Versionen. Mit Update 4073290 wurde ein Fix für Geräte mit AMD-Prozessoren für Windows 10 Version 1709 bereitgestellt, um das nach Installation des Updates vom 3. Januar 2018 - KB4056892 (OS Build 16299.192) für diese aufgetretene Problem eines nicht-bootfähigen Zustandes zu beheben (siehe Referenz). Mit Update 4073578 wurde das entsprechende Problem nach Installation des Updates vom 3. Januar 2018 - KB4056897 (Security-only update) bzw. 4. Januar 2018 - KB4056894 (Monthly Rollup) für Windows 7 SP1 und Windows Server 2008 R2 SP1 behoben (siehe Referenz). Weiterhin informiert Microsoft darüber, dass am 5. Januar 2018 das Sicherheitsupdate KB4056898 (Security Only) für Windows 8.1 und Windows Server 2012 R2 erneut veröffentlicht wurde, um ein Problem zu beheben. Kunden, die das ursprüngliche Paket vom 3. Januar installiert haben, sollten das Update erneut installieren. Das Xen Security Advisory XSA-254 wurde ebenfalls aktualisiert (Version 10), um eine Aussage der vorherigen Version zu berichtigen.

  • Version: 16

    Meinberg stellt in einem Sicherheitshinweis Informationen zu betroffenen Produkten der eigenen Zeit- und Frequenzsynchronisationslösungen zur Verfügung. Der Hersteller listet einzelne Produktserien auf und bewertet die Verwundbarkeit anhand der jeweils eingesetzten Prozessoren. Produkte der LANTIME M- und IMS-Serie verwenden AMD-CPUs, die nach Aussage von AMD von CVE-2017-5753 (Spectre) betroffen sind. Die technische Analyse des dort eingesetzten AMD Geode LX Prozessors durch einen Zulieferer widerspricht allerdings dieser Aussage. Die Produkte TSU-GBit und HPS-100 verwenden Cortex A9 ARM-Cores, die theoretisch von den Schwachstellen betroffen sind. Weiterhin setzen alle Produkte der SyncFire-Produktserie eine oder mehrere Intel Xeon-CPUs ein und sind demnach betroffen. Intel hat für diese Geräte ein Microcode-Update veröffentlicht, welches zusammen mit den verfügbaren Linux-Kernel Sicherheitsupdates, die sich auf Meltdown und Spectre beziehen, die in der nächsten Meinberg Firmware-Version enthalten sein werden.

  • Version: 15

    Oracle stellt für Oracle VM 3.4 erneut Sicherheitsupdates für den Unbreakable Enterprise Kernel zur Verfügung. Über das Paket '4.1.12-112.14.11.el6uek' werden die Schwachstellen CVE-2017-5715 und CVE-2017-5754 adressiert. Das Xen Security Advisory XSA-254 wurde ebenfalls aktualisiert (Version 9), um über die Verfügbarkeit von 'Stage 1' Pagetable Isolation (PTI) Meltdown Fixes für Xen zu informieren. Ferner werden 'Comet' Updates für den Shim Code (Branch 4.10) bereitgestellt.

  • Version: 14

    Microsoft hat seinen Sicherheitshinweis ADV180002 hinsichtlich der Tabelle betroffener Produkte erneut aktualisiert. Es werden nun auch für die unterstützten Editionen von Microsoft SQL Server 2012 Sicherheitsupdates zur Verfügung gestellt. Das Xen Security Advisory XSA-254 wurde ebenfalls aktualisiert (Version 8), um über die Verfügbarkeit von PVH Shim ('Comet') für Xen 4.8 zu informieren. Dies beinhaltet Fehlerbehebungen für zwei Probleme im Zusammenhang mit der Initialisierung von Shim sowie der Unterstützung des PVH Modus für qemu PV Backends.

  • Version: 13

    Red Hat stellt jetzt ebenfalls ein Sicherheitsupdate für den Linux-Kernel in Red Hat CloudForms 4.0 zur Verfügung. Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, High Availability 12 SP3, Server 12 SP3 sowie 12 SP1 LTSS stehen Sicherheitsupdates für den Linux-Kernel bereit, welche die Korrekturen für die Schwachstelle CVE-2017-5753 aktivieren, die bereits mittels früherer Updates verteilt wurden. Die Sicherheitsupdates für die Schwachstelle CVE-2017-5715 wurden ebenfalls bereits distribuiert, diese neuen Pakete enthalten allerdings eine zusätzliche Fehlerbehebung im Kontext der Schwachstelle. Die Sicherheitsupdates sind nur für die IBM Z Plattform verfügbar, welche von der Schwachstelle 'Meltdown' CVE-2017-5754 nicht betroffen ist.

  • Version: 12

    Red Hat stellt Sicherheitsupdates für den Linux-Kernel in Red Hat CloudForms 4.1, 4.2 und 4.5 bereit, um die drei Schwachstellen zu beheben. IBM informiert im IBM PSIRT Blog darüber, dass diese Schwachstellen in vielen Mikroprozessoren vorhanden sind, wie auch jenen, die in IBM Storage Appliances und von der IBM Storage Spectrum Software auf Servern verwendet werden. Allerdings gelten IBM Storage Appliances als nicht angreifbar, da die Ausführung fremden Programmcodes auf derartigen geschlossenen Systemen nicht erlaubt ist. Für IBM Storage Spectrum Software wird empfohlen, die Firmware Updates von Server- und Betriebssystemsanbietern in Überstimmung mit den normalen Prozeduren zu implementieren.

  • Version: 11

    Microsoft hat seinen Sicherheitshinweis ADV180002 hinsichtlich der Tabelle betroffener Produkte aktualisiert. Es werden nun auch Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2014 und Microsoft SQL Server 2016 aufgeführt und Sicherheitsupdates für diese zur Verfügung gestellt.

  • Version: 10

    AMD aktualisiert die Informationen zu der Betroffenheit der AMD Prozessoren, um u.a. darüber zu informieren, dass Microsoft einen großen Teil der zuvor zurückgehaltenen Sicherheitsupdates für AMD Prozessoren jetzt verteilt. An Problemen die ältere Prozessoren betreffen (AMD Opteron, Athlon und AMD Turion X2 Ultra Familie) wird gearbeitet und AMD geht davon aus, dass die Verteilung der Microsoft Updates nächste Woche (KW 3) erfolgen kann. Intel veröffentlicht einen Blog-Artikel 'Intel Security Issue Update: Addressing Reboot Issues' und berichtet über einige Kundenmeldungen nach denen gepatchte Systeme häufiger Neustarts (Reboots) durchführen. Intel analysiert das Problem aktuell und kündigt an, überarbeitete Patches zur Verfügung zu stellen, sollten die Analysen die Notwendigkeit dafür aufzeigen. Dieses Problem scheint insbesondere Intel Broadwell und Haswell CPUs zu betreffen.

  • Version: 9

    Für die SUSE Linux Enterprise Produktvarianten Software Development Kit, High Availability und Server in der Version 12 SP2 wurden Sicherheitsupdates für den Linux-Kernel veröffentlicht, die allerdings nur für IBM Z Plattformen zur Verfügung stehen. Die Korrekturen für IBM Z waren bereits in dem vorhergehenden Update integriert, sie werden aber jetzt erst aktiviert. Die Schwachstelle CVE-2017-5754 betrifft die IBM Z Architektur nicht. Oracle stellt für Oracle VM 3.4 Sicherheitsupdates für den Unbreakable Enterprise Kernel zur Verfügung. Über das Paket '4.1.12-112.14.5.el6uek' werden die Schwachstellen CVE-2017-5715 und CVE-2017-5753 und über das Paket '4.1.12-112.14.10.el6uek' die Schwachstellen CVE-2017-5715 und CVE-2017-5754 adressiert. Citrix informiert mittels der Meldung Citrix Security Advisory CTX231399 über die Betroffenheit der Citrix Produkte. Neben dem XenServer für den eine eigene Meldung, Citrix Security Advisory CTX231390, erstellt wurde, kann eine Verwundbarkeit von Citrix NetScaler SDX nicht ausgeschlossen werden. Die XenServer Versionen 6.0.2, 6.2.0, 6.5, 7.0, 7.1 LTSR Cumulative Update 1, 7.2 und 7.3 sind von den Schwachstellen CVE-2017-5715 und CVE-2017-5754 betroffen. Für die Schwachstelle CVE-2017-5753 ist dem Hersteller kein Weg der Ausnutzung im XenServer bekannt. Zur Behebung der Schwachstelle CVE-2017-5715 stehen für die Versionen 7.1 LTSR Cumulative Update 1, 7.2 und 7.3 erste Hotfixes bereit, die zusätzliche eine Reihe von Denial-of-Service-Schwachstellen adressieren. An weiteren Sicherheitsupdates wird, auch zusammen mit Hardware Herstellern, gearbeitet.

  • Version: 8

    Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 17.04 und Ubuntu 16.04 LTS Sicherheitsupdates für 'webkit2gtk' auf das WebKitGTK+ Release 2.18.5 zur Behebung der Schwachstellen CVE-2017-5715 und CVE-2017-5753 (Spectre) bereit. Nach Installation der Sicherheitsupdates müssen alle Anwendungen, welche WebKitGTK+ verwenden, wie etwa Epiphany, neu gestartet werden.

  • Version: 7

    Mit WebKitGTK+ Security Advisory WSA-2018-0001 wird über das WebKitGTK+ Release 2.18.5 zur Behebung der Schwachstellen CVE-2017-5715 und CVE-2017-5753 (Spectre) informiert. Für Fedora 26 und 27 stehen Sicherheitsupdates auf diese Version in Form der Pakete 'webkitgtk4-2.18.5-1.fc26' und 'webkitgtk4-2.18.5-1.fc27' im Status 'pending' bereit. Für Fedora 26 und 27 stehen darüber hinaus Sicherheitsupdates für den Linux-Kernel auf Version 4.14.13 im Status 'pending' zur Verfügung. Hiermit werden einige Mitigationen für Spectre (beide Varianten) eingeführt. Die Installation dieser Sicherheitsupdates erfordert den anschließenden Neustart betroffener Systeme.

  • Version: 6

    NVIDIA veröffentlicht neue Hinweise und weitere Sicherheitsupdates zu den Schwachstellen über die NVIDIA Driver Download-Webseite. Für Windows stehen jetzt die Treiberversionen 390.65 (GeForce, Quadro, NVS) und 386.07 (Quadro, NVS, Tesla) zur Verfügung. Für Linux, FreeBSD und Solaris stehen die Versionen 390.12 und 384.111 für GeForce, Quadro, NVS und Tesla (nur 384.111) bereit. Für den Versionszweig R390 für Tesla wird ein Sicherheitsupdate in KW 4 für Windows und Linux angekündigt. Darüber hinaus stehen über das NVIDIA Licensing Center Informationen zu Updates für NVIDIA GRID Produkte zur Verfügung. Die NVIDIA GRID betreffenden Updates für Windows, Windows Server mit Hyper-V, Linux, Citrix XenServer, VMware vSphere und Red Hat KVM werden vor Ende Januar erwartet. Canonical stellt für Ubuntu 17.10, Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS ein Sicherheitsupdate für 'nvidia-graphics-drivers-384' auf Version 384.111 zur Verfügung, mit dem laut zugehörigem Sicherheitshinweis zunächst eine der 'Spectre'-Schwachstellen (CVE-2017-5753) adressiert wird. Oracle veröffentlicht die Oracle VM Security Advisories OVMSA-2018-0005 und OVMSA-2018-0006, um über die Bereitstellung von verschiedenen Xen-Sicherheitsupdates für Oracle VM 3.4 zu informieren. Das erstgenannte Update referenziert zusätzlich auch die Schwachstellen CVE-2017-15592, CVE-2017-15595, CVE-2017-17044 und CVE-2017-17045, die Denial-of-Service-Angriffe und eine Privilegieneskalation ermöglichen und bereits im Dezember (OVMSA-2017-0176) behoben wurden.

  • Version: 5

    Red Hat veröffentlicht für Red Hat Virtualization 3.X und 4 für Red Hat Enterprise Linux 7 Sicherheitsupdates in Form aktualisierter 'redhat-virtualization-host'-Pakete. Für Red Hat Virtualization 3.x auf RHEL 6 und 7 steht außerdem das Paket 'rhev-hypervisor7' und für Red Hat Virtualization 4 auf RHEL 7 das Paket 'rhvm-appliance' als Sicherheitsupdate bereit.

  • Version: 4

    Microsoft aktualisiert seinen Sicherheitshinweis und weist darauf hin, dass Sicherheitsupdates für Microsoft Server 2008 und 2012 bis auf weiteres nicht zur Verfügung stehen werden, da hier tiefe Eingriffe in die Architektur notwendig sind. Weiterhin erklärt der Hersteller, dass die im Sicherheitshinweis genannten 32-Bit-Pakete nur die 'Spectre'-Schwachstellen adressieren. Sophos informiert darüber, dass die eigenen Endpoint-Produkte mit dem aktuellen Update von Microsoft kompatibel sind und die für dieses notwendigen Einträge in die Windows-Registry zeitnah durch Updates für Sophos Endpoint/Server vorgenommen werden. Für Netzwerkkunden kündigt Sophos an, dass die Untersuchungen zu den jeweiligen Kernel-Updates für das unterliegende Linux und andere Betriebssysteme noch andauern. Dies betrifft unter anderem Sophos UTM und Sophos Firewall OS. Juniper informiert über den aktuellen Stand der Untersuchungen zu den eigenen Produkten. Unter anderem werden Junos OS, Junos Space und Qfabric Director noch untersucht. Der Hersteller geht aktuell davon aus, dass Junos OS nur durch lokale Angreifer mit Administratorrechten angreifbar ist. Die Produkte ScreenOS und JUNOSe sind den Angaben von Juniper zufolge nicht verwundbar gegenüber den Schwachstellen. Im Xen Security Advisory 254 gibt das Xen.org Security Team neue Informationen zu den Schwachstellen bekannt und präzisiert die möglichen Auswirkungen der Schwachstellen. Insbesondere weisen die Autoren darauf hin, dass die Möglichkeit zu Angriffen von Gastbenutzer auf den Gastkernel unabhängig von den in Xen umgesetzten Mitigationen besteht und nur durch Aktualisierung des eingesetzten Betriebssystems adressiert werden können. Darüber hinaus hat der Chiphersteller ARM Informationen zu betroffenen Prozessoren veröffentlicht, die neben Xen auch den Einsatz von Google Android betreffen. Google stellt auf seinen Supportseiten weitere Hinweise zu eigenen Produkten zur Verfügung.

  • Version: 3

    Canonical informiert darüber, dass die Patches für Ubuntu Linux spätestens zum ursprünglich geplanten Release am 09.01.2018 zur Verfügung stehen werden. Aufgrund der Komplexität der Patches wird ein Live-Update ausgeschlossen, betroffene Systeme müssen nach Installation neu gestartet werden. Apple weist darauf hin, dass die Produkte iOS 11.2 und macOS 10.13.2 bereits gegen die Schwachstelle 'Meltdown' gehärtet wurden. Die 'Spectre'-Schwachstellen werden in künftigen Updates adressiert. Auch NVIDIA hat mit den Untersuchungen der eigenen Produkte begonnen und bereits erste Updates für Quadro, NVS (Windows, Linux, FreeBSD, Solaris) und GeForce (Linux, FreeBSD, Solaris) veröffentlicht.

  • Version: 2

    Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen adressiert werden. Weitere Sicherheitsupdates stehen in der für die Red Hat Enterprise Linux Server Advanced Update Support (AUS) Versionen AUS 6.2, AUS 6.4 und AUS 6.5 sowie für Red Hat Enterprise MRG 2 zur Verfügung. Debian veröffentlicht ein Sicherheitsupdate für Debian Stretch (stable) zur Behebung der Schwachstelle 'Meltdown' (CVE-2017-5754), mit dem zusätzlich eine alte Regression behoben wird. Die beiden 'Spectre'-Schwachstellen werden in einem gesonderten Update adressiert. Für die vormalige stabile Distribution Jessie wird ebenfalls ein eigenes Sicherheitsupdate angekündigt. Die Hersteller Fortinet, F5 Networks und IBM informieren darüber, dass die Untersuchungen der jeweils eigenen Produkte in Bezug auf die Schwachstellen begonnen haben. Die Informationen zu Produkten des Herstellers Cisco Systems verarbeiten wir in einem gesonderten Sicherheitshinweis, auch hier haben die Untersuchungen der eigenen Produktpalette begonnen.

  • Version: 1

    Neues Advisory

Beschreibung

Der BIG-IP Advanced Firewall Manager (AFM) ist eine zustandsbasierte Netzwerk Firewall speziell für Rechenzentren. Der Big-IP AFM überwacht über Standardprotokolle eingehenden Datenverkehr. Aufgrund seines Funktionsumfangs kann der BIG-IP AFM als Ersatz für das BIG-IP Protocol Security Module (PSM) verwendet werden, welches vom Hersteller nicht weiter entwickelt wird.

Der BIG-IP Application Security Manager (ASM) ist eine Web Application Firewall (WAF). BIG-IP ASM steht als Appliance, virtuelle Edition und als Servicedienstleistung (Managed Service) zur Verfügung. Aufgrund seines Funktionsumfangs kann der BIG-IP ASM als Ersatz für das BIG-IP Protocol Security Module (PSM) verwendet werden, welches vom Hersteller nicht weiter entwickelt wird.

Der Microsoft SQL Server (kurz MSSQLServer) ist ein relationales Datenbankmanagementsystem.

NVIDIA Graphics Processing Unit (GPU)-Treiber stehen für verschiedene Windows- und Linux-Plattformen sowie FreeBSD und Solaris zur Verfügung.

WebKitGTK+ ist die GNOME-Variante der WebKit-Rendering-Engine, die der Darstellung von Webseiten in Webbrowsern dient.

iOS ist das Standardbetriebssystem auf Apple-Geräten wie iPhone, iPod touch und iPad. Es wurde auf Basis des Betriebssystems MAC OS X entwickelt.

macOS ist die aktuelle Bezeichnung des Betriebssystems, das Apple für seine Hardwareprodukte entwickelt hat. Das Betriebssystem ist als Nachfolger von Mac OS 9 zunächst unter dem Namen Mac OS X vertrieben worden.

Linux ist ein Betriebssystemkern. Er wird in einer Vielzahl von Distributionen und Betriebssystemen verwendet.

Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens Microsoft.

Windows Server ist ein Produktname, unter dem Microsoft seine Serverbetriebssysteme zusammenfasst. Dazu gehören die Produkte Windows Server 2003 und 2003 R2, Windows Server 2008 und 2008 R2, Windows Server 2012 und 2012 R2 sowie Windows Server 2016.

Xen ist ein Hypervisor, der direkt auf der Hardware läuft und es erlaubt, mehrere virtuelle Maschinen unterschiedlicher Betriebssysteme auf einem physischen Computer zu betreiben.

Die Implementierung für die leistungssteigernde Technik 'speculative Execution of Instructions' für verschiedene Mikroprozessordesigns ist fehlerhaft. Bei der 'speculative Execution of Instructions' werden Annahmen über das Ergebnis einer anderen Operation getroffen und zur Ausführung der Instruktion verwendet. Treffen die Annahmen zu, ist das Ergebnis eine Beschleunigung der Verarbeitung. Treffen die Annahmen nicht zu, muss die Instruktion zurückgesetzt werden. Der Fehler in der Implementierung besteht darin, dass Seiteneffekte der Ausführung der Instruktion bestehen bleiben. U.a. werden Änderungen am TLB (Translation Lookaside Buffer) nicht zurückgesetzt. Daraus resultieren mehrere Schwachstellen, die abhängig vom eingesetzten Prozessortyp von einem Angreifer ausgenutzt werden können: Die Schwachstelle CVE-2017-5715 (Spectre) betrifft Intel und AMD Mikroprozessoren und ermöglicht vermutlich einem Angreifer im benachbarten Netzwerk, Kernel-Programmcode an einer von ihm selbst kontrollierten Speicheradresse zur Ausführung zu bringen und dadurch privilegierten Speicher zu lesen. Die Schwachstelle CVE-2017-5753 (Spectre) betrifft Intel und AMD Mikroprozessoren und ermöglicht vermutlich einem Angreifer im benachbarten Netzwerk die Ausführung spekulativer Instruktionen des Betriebssystems oder Hypervisors hinter Speicher- und Sicherheitsgrenzen und darüber den Zugriff auf privilegierten Speicher. Die Schwachstelle CVE-2017-5754 (Meltdown) betrifft nach derzeitigem Kenntnisstand nur Intel Mikroprozessoren und ermöglicht einem lokalen, nicht authentisierten Angreifer das Auslesen von Kernelspeicher vom Userspace aus und dadurch die Ausführung beliebigen Programmcodes mit den höchsten Privilegien. Über die genauen Auswirkungen der Schwachstellen wird noch im Einzelfall diskutiert, da diese auf unterschiedlichen Plattformen verschieden sein können. Die Bewertung der Schwachstellen basiert an dieser Stelle daher auf der Arbeit der Schwachstellenentdecker selbst (Project Zero) und den bisher bekannten Einschätzungen der betroffenen Softwarehersteller. Sicher ist, dass die zur Behebung der Schwachstellen notwendigen Patches Performanceeinbußen für die betroffenen Systeme mit sich bringen werden, da die Sicherheitsupdates primär auf einer Deaktivierung der leistungssteigernden Technik beruhen, und dass die Behebung der Schwachstellen sowohl Software- als auch Firmware-seitige Updates erfordert. Im von Intel veröffentlichten Sicherheitshinweis verweist der Prozessorhersteller für Firmwareupdates auf die Hersteller und Distributoren der Systeme, die die hauseigenen Prozessoren einsetzen. Gleiches gilt auch für Systeme mit Mikroprozessoren anderer Chiphersteller, von denen bisher mit Ausnahme von AMD noch keine Stellungnahmen vorliegen. AMD weist darauf hin, dass die Schwachstelle CVE-2017-5754 (Meltdown) AMD-Prozessoren nicht betrifft, da diese eine andere Architektur verwenden. Für die Ausnutzung der Schwachstelle CVE-2017-5715 (Spectre) besteht auf AMD-Systemen aus demselben Grund nur ein geringes Risiko. Die Schwachstelle CVE-2017-5753 (Spectre) wird laut Aussage von AMD Software-seitig von Betriebssystemherstellern behoben. Da so gut wie alle aktuellen Betriebssysteme von den Schwachstellen betroffen sind, sollten die Hinweise der jeweiligen Softwarehersteller in den kommenden Tagen genau beachtet werden. Der Xen Hypervisor ist laut Aussage des Herstellers von allen Schwachstellen betroffen. Als mögliche Auswirkung wird das Ausspähen aller Informationen aus dem Speicher eines geteilten Hosts genannt. Die Informationen können durch Ausführung spekulativer Instruktionen erhalten werden, die vom Angreifer kontrollierbar sind. Die Schwachstelle CVE-2017-5754 kann hier umgangen werden, indem Gastsysteme im HVM- oder PVH-Modus betrieben werden. Es stehen noch keine Sicherheitsupdates für Xen zur Verfügung. Microsoft empfiehlt allen Nutzern, alle verfügbaren Betriebssystemupdates - insbesondere die bisherigen Windows Sicherheitsupdates vom Januar 2018 - zu installieren. Für Microsoft Surface Produkte kündigt der Hersteller ein Firmware Update an. Um die Schließung der Sicherheitslücken zu verifizieren stellt Microsoft ein PowerShell Script zur Verfügung und weist darauf hin, dass einige Antivirusprogramme nicht mit den Sicherheitsupdates kompatibel sind. Microsoft weist darauf hin, dass die aktuellen Updates auch Mitigationen für Internet Explorer und Edge im Kontext der Schwachstellen beinhalten. Die Auswirkungen auf diese Produkte sind bisher unklar. Im aktuellen Sicherheitsupdate für die Microsoft Browser werden vor allem Speicherkorruptionsschwachstellen in der Scripting Engine behandelt. Für verschiedene Versionen von Microsoft Windows Server stehen ebenfalls Sicherheitsupdates zur Verfügung. Microsoft weist darauf hin, dass ein erhöhtes Risiko besteht, wenn die Server als Hyper-V Hosts oder Remote Desktop Services Hosts (RDSH) betrieben werden und wenn nicht vertrauenswürdiger Programmcode, beispielsweise über Container, auf den Geräten verwendet werden kann. Hier werden zusätzlich Registry-Einträge angegeben, um die Mitigationen auf dem Server zu aktivieren und es steht ebenfalls ein PowerShell Skript zur Prüfung zur Verfügung. Weiterhin stehen Sicherheitsupdates für verschiedene Versionen von Microsoft SQL Server und verschiedene Hinweise zu unterschiedlichen Einsatzszenarien zur Verfügung. In Linux-Systemen werden aktuell Patches unter der Abkürzung KPTI (Kernel Page Table Isolation) veröffentlicht, die Kernel- und Userland-Speicher besser trennen sollen. Einige Softwarehersteller stellen gesonderte Firmware-Sicherheitsupdates zur Verfügung, die nur CVE-2017-5715 (Spectre) adressieren. Dazu existiert ein gesonderter Sicherheitshinweis. Für das gesamte Red Hat Portfolio stehen bereits Sicherheitsupdates für den Linux-Kernel oder den Echtzeitkernel zur Verfügung. Hier werden die Schwachstellen für die aktuellen Red Hat Enterprise Linux 6 und 7 Editionen sowie die Editionen mit erweitertem Support (Advanced Update Support, Extended Update Support, Telco Update Support) behoben. Für Fedora 26 und 27 stehen Kernel-Sicherheitsupdates im Status 'stable' (Fedora 27) beziehungsweise 'pending' (Fedora 26) bereit. In den Sicherheitsupdates wird die Schwachstelle 'Meltdown' erwähnt, möglicherweise wird hier also nur CVE-2017-5754 adressiert.

  1. Fedora Security Update FEDORA-2018-22d5fa8a90 (Fedora 27, kernel-4.14.11-300.fc27)

  2. Fedora Security Update FEDORA-2018-8ed5eff2c0 (Fedora 26, kernel-4.14.11-200.fc26)

  3. Microsoft Security Advisory ADV180002: Guidance to mitigate speculative execution side-channel vulnerabilities

  4. Red Hat Security Advisory RHSA-2018:0007 (RHEL 7, kernel)

  5. Red Hat Security Advisory RHSA-2018:0008 (RHEL 6, kernel)

  6. Red Hat Security Advisory RHSA-2018:0009 (RHEL 7.3, kernel)

  7. Red Hat Security Advisory RHSA-2018:0010 (RHEL 7.2, kernel)

  8. Red Hat Security Advisory RHSA-2018:0011 (RHEL 6.7 EUS, kernel)

  9. Red Hat Security Advisory RHSA-2018:0017 (RHEL 6.6, kernel)

  10. Red Hat Security Update RHSA-2018:0016 (RHEL 7, kernel-rt)

  11. An Update on AMD Processor Security

  12. Intel Security Advisory INTEL-SA-00088: Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method

  13. Microsoft Support: Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software

  14. Microsoft Support: SQL Server Guidance to protect against speculative execution side-channel vulnerabilities

  15. Microsoft Support: Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities

  16. Microsoft Support: Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities

  17. Project Zero: Reading privileged memory with a side-channel (technische Informationen zu den Schwachstellen)

  18. Schwachstelle CVE-2017-5715 (NVD)

  19. Schwachstelle CVE-2017-5753 (NVD)

  20. Schwachstelle CVE-2017-5754 (NVD)

  21. Xen Security Advisory XSA-254: Information leak via side effects of speculative execution

  22. Debian Security Advisory DSA-4078-1 (Debian 'Stretch' 9.3, linux)

  23. NVIDIA Security Bulletin: NVIDIA GPU Display Driver Security Updates for Speculative Side Channels

  24. Oracle Linux Security Advisory ELSA-2018-0007 (Oracle Linux 7, kernel)

  25. Red Hat Security Advisory RHSA-2018:0018 (RHEL 6.4, kernel)

  26. Red Hat Security Advisory RHSA-2018:0020 (RHEL 6.2, kernel)

  27. Red Hat Security Advisory RHSA-2018:0021 (MRG 2, kernel-rt)

  28. Red Hat Security Advisory RHSA-2018:0022 (RHEL 6.5, kernel)

  29. Apple: About speculative execution vulnerabilities in ARM-based and Intel CPUs

  30. F5 Networks Security Advisory K91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754

  31. FortiGuard Labs PSIRT Advisory FG-IR-18-002

  32. IBM PSIRT Blog: Potential CPU Security Issue

  33. NVIDIA Security Notice: Speculative Side Channels

  34. Ubuntu Updates for the Meltdown / Spectre Vulnerabilitie

  35. Xen Security Advisory XSA-254

  36. Arm Processor Security Update: Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism

  37. Google Product Status: Google's Mitigations Against CPU Speculative Execution Attack Methods

  38. Juniper Security Bulletin JSA10842

  39. Sophos Advisory: Kernel memory issue affecting multiple OS (aka F**CKWIT, KAISER, KPTI, Meltdown & Spectre)

  40. Red Hat Security Advisory RHSA-2018:0044 (RHEV 3.X for RHEL-7, redhat-virtualization-host)

  41. Red Hat Security Advisory RHSA-2018:0045 (RHEV 4.X, RHEV-H for RHEL 7, rhvm-appliance)

  42. Red Hat Security Advisory RHSA-2018:0046 (RHEV 3.X for RHEL-6 and RHEL-7, rhev-hypervisor7)

  43. Red Hat Security Advisory RHSA-2018:0047 (RHEV 4.X, RHEV-H for RHEL 7, redhat-virtualization-host)

  44. NVIDIA Driver Download Seite

  45. Oracle VM Security Advisory OVMSA-2018-0005 (Oracle VM 3.4, xen 4.4.4-105.0.30.el6)

  46. Oracle VM Security Advisory OVMSA-2018-0006 (Oracle VM 3.4, xen 4.4.4-155.0.12.el6)

  47. Ubuntu Security Notice USN-3521-1 (nvidia-graphics-drivers-384)

  48. Fedora Security Update FEDORA-2018-0590e4af13 (Fedora 27, webkitgtk4-2.18.5-1.fc27)

  49. Fedora Security Update FEDORA-2018-21a7ad920c (Fedora 27, kernel-4.14.13-300.fc27)

  50. Fedora Security Update FEDORA-2018-690989736a (Fedora 26, webkitgtk4-2.18.5-1.fc26)

  51. Fedora Security Update FEDORA-2018-e6fe35524d (Fedora 26, kernel-4.14.13-200.fc26)

  52. Ubuntu Security Notice USN-3530-1

  53. WebKitGTK+ Security Advisory WSA-2018-0001

  54. Citrix Security Advisory CTX231390

  55. Oracle VM Security Advisory OVMSA-2018-0007 (Oracle VM 3.4, Kernel 4.1.12-112.14.5)

  56. Oracle VM Security Advisory OVMSA-2018-0008 (Oracle VM 3.4, Kernel 4.1.12-112.14.10)

  57. SUSE Security Update SUSE-SU-2018:0069-1 (Linux-Kernel)

  58. Citrix Security Advisory CTX231399

  59. Intel Security Issue Update: Addressing Reboot Issues

  60. Red Hat Security Advisory RHSA-2018:0090 (CloudForms 4.2)

  61. Red Hat Security Advisory RHSA-2018:0091 (CloudForms 4.5)

  62. Red Hat Security Update RHSA-2018:0089 (CloudForms 4.1)

  63. IBM PSIRT Blog: IBM Storage — Meltdown/Spectre

  64. Red Hat Security Advisory RHSA-2018:0092 (CloudForms 4.0)

  65. SUSE Security Update SUSE-SU-2018:0113-1 (Linux-Kernel)

  66. SUSE Security Update SUSE-SU-2018:0114-1 (Linux-Kernel)

  67. Meinberg Security Advisory [MBGSA-1801]: Spectre und Meltdown

  68. Oracle VM Security Advisory OVMSA-2018-0010 (Oracle VM 3.4, Kernel 4.1.12-112.14.11)

  69. Oracle Linux Security Advisory ELSA-2018-4012 (Oracle Linux 6 und 7, Kernel 4.1.12-94.7.8)

  70. Microsoft Support: Unbootable state for AMD devices in Windows 10 Version 1709

  71. Microsoft Support: Unbootable state for AMD devices in Windows 7 SP1 and Windows Server 2008 R2 SP1

  72. Ubuntu Security Notice USN-3540-1 (Ubuntu 16.04 LTS, Linux-Kernel, Amazon Web Services, Intel Euclid)

  73. Ubuntu Security Notice USN-3540-2 (Ubuntu 14.04 LTS, Linux-Kernel, Amazon Web Services, HWE)

  74. Ubuntu Security Notice USN-3541-1 (Ubuntu 17.10, Linux-Kernel)

  75. Ubuntu Security Notice USN-3541-2 (Ubuntu 16.04 LTS, Linux-Kernel, Microsoft Azure, Google Cloud Platform, HWE, OEM Processors)

  76. Ubuntu Security Notice USN-3542-1 (Ubuntu 14.04 LTS, Linux-Kernel)

  77. Ubuntu Security Notice USN-3542-2 (Ubuntu 12.04 LTS, Linux-Kernel, HWE)

  78. Oracle Linux Security Advisory ELSA-2018-4020 (Oracle Linux 5 und 6, Kernel 2.6.39-400.298.2)

  79. Red Hat Security Advisory RHSA-2018:0151

  80. Oracle Linux Security Advisory ELSA-2018-0151 (Oracle Linux 7, Kernel 3.10.0-693.17.1)

  81. IBM Security Advisory spectre_meltdown_advisory.asc

  82. IBM PSIRT Blog: IBM has released AIX and VIOS iFixes in response to the vulnerabilities known as Spectre and Meltdown

  83. Intel Microcode Revision Guidance, January 24, 2018

  84. Microsoft Update to Disable Mitigation against Spectre, Variant 2

  85. Oracle Linux Security Advisory ELSA-2018-4022 (Oracle Linux 6 und 7, Kernel 3.8.13-118.20.2)

  86. SUSE Security Update SUSE-SU-2018:0285-1

  87. Ubuntu Security Notice USN-3548-1 (Ubuntu 17.10, Linux-Kernel)

  88. Ubuntu Security Notice USN-3548-2 (Ubuntu 16.04 LTS, Linux-Kernel for Microsoft Azure Cloud, Google Cloud Platform (GCP), HWE, OEM Processors)

  89. Ubuntu Security Notice USN-3549-1 (Ubuntu 16.04 LTS, Linux-Kernel (KVM))

  90. Oracle VM Security Advisory OVMSA-2018-0016

  91. Red Hat Security Advisory RHSA-2018:0292 (RHEL 5, kernel)

  92. Ubuntu Security Notice USN-3580-1 (Ubuntu 12.04 LTS, Linux-Kernel)

  93. Oracle Linux Security Advisory ELSA-2018-0292 (Oracle Linux 5, Kernel 2.6.18-419.0.0.8)

  94. SUSE Security Update SUSE-SU-2018:0552-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.