Säkerhetsinformation / 2019 / Säkerhetsinformation -- DSA-4564-1 linux

Säkerhetsbulletin från Debian

DSA-4564-1 linux -- säkerhetsuppdatering

Rapporterat den:

2019-11-12

Berörda paket:

linux

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2018-12207, CVE-2019-0154, CVE-2019-0155, CVE-2019-11135.

Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till utökning av privilegier, överbelastning, eller informationsläckage.

• CVE-2018-12207

  Man har upptäckt att på Intel-CPUer med stöd för hårdvaruvirtualisering med Extended Page Tables (EPT), kan en gästmaskin manipulera minneshanteringshårdvaran för att orsaka ett Machine Check Error (MCE) och överbelastning (hängning eller krasch).

  Gästen triggar detta fel genom att ändra sidtabeller utan en TLB flush, så både 4 KB och 2 MB-registreringar på samma virtuella adress laddas in i instruktions-TLBn (iTLB). Denna uppdatering implementerar en lindring i KVM som förhindrar gäst-VMs från att ladda 2 MB-registreringar i iTLBn. Detta minskar prestandan i gäst-VMs.

  Ytterligare information om lindringen kan hittas på https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/multihit.html eller i paketen linux-doc-4.9 eller linux-doc-4.19.

  En qemu-uppdatering som lägger till stöd för funktionen PSCHANGE_MC_NO, som tillåter att inaktivera iTLB Multihit-lindringar i nästlade hypervisors kommer att tillhandahållas i DSA 4566-1.

  Intels förklaring till problemet kan hittas på https://software.intel.com/security-software-guidance/insights/deep-dive-machine-check-error-avoidance-page-size-change-0.

• CVE-2019-0154

  Intel upptäckte att på deras 8:de och 9:de generation av GPUer, kan läsning av vissa register medan GPUn är i lågeffektsläge orsaka systemhängning. En lokal användare med rättigheter att använda GPUn kan utnyttja detta för överbelastning.

  Denna uppdatering lindrar detta problem genom ändringar i i915-drivrutinen.

  De påverkade chippen (gen8 och gen9) listas på https://en.wikipedia.org/wiki/List_of_Intel_graphics_processing_units#Gen8.

• CVE-2019-0155

  Intel upptäckte att deras 9:de generation och nyare GPUer saknar en säkerhetskontroll i Blitter Command Streamer (BCS). En lokal användare med rättigheter att använda GPUn kunde utnyttja detta för åtkomst till allt minne som GPUn har åtkomst till, vilket kunde resultera i överbelastning (minneskorruption eller krasch), läckage av känslig information eller utökning av privilegier.

  Denna uppdatering lindrar detta problem genom att lägga till säkerhetskontrollen till i915-drivrutinen.

  De påverkade chippen (gen9 och framåt) listas på https://en.wikipedia.org/wiki/List_of_Intel_graphics_processing_units#Gen9.

• CVE-2019-11135

  Man har upptäckt att på Intel-CPUer med stöd för transaktionsminne (TSX), kan en transaktion som är på väg att avbrytas forsätta att exekvera spekulativt, och läsa känslig information interna buffertar och läcka det genom beroende operationer. Intel kallar detta för TSX Asynchronous Abort (TAA).

  För CPUer som påverkas av den tidigare publicerade Microarchitectural Data Sampling (MDS)-problemet (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091), lindrar den existerande lindringen även detta problem.

  För processorer som är sårbara för TAA men inte MDS, inaktiverar denna uppdatering TSX som standard. Denna lindring kräver uppdaterad CPU-mikrokod. Ett uppdaterat intel-microcode-paket (som endast finns tillgängligt i Debian non-free) kommer att tillhandahållas genom DSA 4565-1. Den uppdaterad CPU-miktokoden kan även vara tillgänglig som en uppdatering av systemfastprogramvara ("BIOS").

  Ytterligare information om lindringen kan hittas på https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/tsx_async_abort.html eller i paketen linux-doc-4.9 eller linux-doc-4.19.

  Intels förklaring av problemet kan hittas på https://software.intel.com/security-software-guidance/insights/deep-dive-intel-transactional-synchronization-extensions-intel-tsx-asynchronous-abort.

För den gamla stabila utgåvan (Stretch) har dessa problem rättats i version 4.9.189-3+deb9u2.

För den stabila utgåvan (Buster) har dessa problem rättats i version 4.19.67-2+deb10u2.

Vi rekommenderar att ni uppgraderar era linux-paket.

För detaljerad säkerhetsstatus om linux vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/linux