Информация по безопасности / 2019 / Информация о безопасности -- DSA-4564-1 linux

Рекомендация Debian по безопасности

DSA-4564-1 linux -- обновление безопасности

Дата сообщения:

12.11.2019

Затронутые пакеты:

linux

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2018-12207, CVE-2019-0154, CVE-2019-0155, CVE-2019-11135.

Более подробная информация:

В ядре Linux было обнаружено несколько уязвимостей, которые могут приводить к повышению привилегий, отказу в обслуживании или утечке информации.

• CVE-2018-12207

  Было обнаружено, что на ЦП Intel, поддерживающих виртуализацию с расширенными таблицами страниц (EPT), гостевая виртуальная машина может воздействовать на оборудование для управления памятью с целью вызова ошибки проверки машины (MCE) и отказа в обслуживании (зависание или аварийная остановка).

  Гостевая система вызывает эту ошибку путём изменения таблицы страниц без TLB-сброса таким образом, что и 4 КБ, и 2 МБ записи для одного и того же виртуального адреса загружаются в инструкцию TLB (iTLB). Данное обновление реализует снижение вреда в KVM, которое не позволяет гостевым виртуальным машинам загружать 2 МБ записи в iTLB. Это снижает производительность гостевых виртуальных машин.

  Дополнительную информацию о снижении вреда можно найти по адресу https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/multihit.html или в пакетах linux-doc-4.9 и linux-doc-4.19.

  Обновление для qemu, добавляющее поддержку возможности PSCHANGE_MC_NO, которая позволяет отключать исправления iTLB Multihit во вложенных гипервизорах, будет предоставлено в DSA 4566-1.

  Объяснение этой проблемы, предоставленное Intel, можно найти по адресу https://software.intel.com/security-software-guidance/insights/deep-dive-machine-check-error-avoidance-page-size-change-0.

• CVE-2019-0154

  Сотрудники Intel обнаружили, что на ЦП 8-го и 9-го поколений чтение определённых регистров в то время, когда графический процессор находится в состоянии экономии энергии, может вызывать зависание системы. Локальный пользователь, имеющий права на использование графического процессора, может использовать эту проблему для вызова отказа в обслуживании.

  Данное обновление снижает вред от этой проблемы путём изменений в драйвере i915.

  Подверженные проблеме чипы (gen8 и gen9) приведены по адресу https://en.wikipedia.org/wiki/List_of_Intel_graphics_processing_units#Gen8.

• CVE-2019-0155

  Сотрудники Intel обнаружили, что в их графических процессорах 9-го поколения, а также в более новых процессорах, отсутствует проверка безопасности в накопителе команд копирования битового массива (BCS). Локальный пользователь, имеющий права на использование графического процессора, может использовать эту проблему для доступа к любому региону памяти, к которому имеется доступ у графического процессора, что может приводить к отказу в обслуживании (повреждение содержимого памяти или аварийная остановка), утечке чувствительной информации или повышению привилегий.

  Данное обновление снижает вред от этой проблемы путём добавления проверки безопасности в драйвер i915.

  Подверженные проблеме чипы (gen9 и последующие) приведены по адресу https://en.wikipedia.org/wiki/List_of_Intel_graphics_processing_units#Gen9.

• CVE-2019-11135

  Было обнаружено, что на ЦП Intel, поддерживающих транзакционную память (TSX), транзакция, которую планируется отменить, может продолжать выполнение спекулятивно, считывая чувствительные данные из внутренних буферов и раскрывая их через зависимые операции. Intel называет это асинхронным прерыванием TSX (TAA).

  Для подверженных проблеме ЦП, которые были подвержены ранее опубликованным проблемам микроархитектурной выборки данных (MDS) (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091), существующий способ снижения вреда также снижает вред от данной проблемы.

  Для процессоров, уязвимых к TAA, но не к MDS, данное обновление по умолчанию отключает TSX. Этот способ снижения вреда требует обновления микрокода ЦП. Обновлённый пакет intel-microcode (доступен только в несвободном разделе архива Debian) будет предоставлен в DSA 4565-1. Обновлённый микрокод ЦП также может быть доступен в виде части обновления системной прошивки ("BIOS").

  Дополнительную информацию о снижении вреда можно найти по адресу https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/tsx_async_abort.html or in the linux-doc-4.9 or linux-doc-4.19 package.

  Объяснение данной проблемы, предоставленное Intel, можно найти по адресу https://software.intel.com/security-software-guidance/insights/deep-dive-intel-transactional-synchronization-extensions-intel-tsx-asynchronous-abort.

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 4.9.189-3+deb9u2.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 4.19.67-2+deb10u2.

Рекомендуется обновить пакеты linux.

С подробным статусом поддержки безопасности linux можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/linux