-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.07 ############################# Titel : MDS kwetsbaarheden gemitigeerd in Intel CPU`s (RIDL, Fallout, ZombieLoad) Advisory ID : NCSC-2019-0380 Versie : 1.07 Kans : high CVE ID : CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Omzeilen van beveiligingsmaatregel Toegang tot gevoelige gegevens Toegang tot systeemgegevens Uitgiftedatum : 20190604 Toepassing : Dell PowerEdge Blade Server Dell Poweredge Dell Precision HP Notebooks Intel Core Intel Xeon QEMU RedHat Red Hat libvirt Xen Hypervisor Versie(s) : Platform(s) : AIX FreeBSD Linux Windows NetBSD OpenBSD VMware ESX Update De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om kwetsbaarheden te verhelpen in libvirt voor OpenSUSE Leap 15.0. Beschrijving Intel heeft updates uitgebracht om kwetsbaarheden in Intel processoren te mitigeren. De kwetsbaarheden worden door Intel aangeduid als Microarchitectural Data Sampling (MDS) kwetsbaarheden. Security-onderzoekers hebben Proof-of-Concept code met Intel gedeeld van drie aanvalstechnieken genaamd RIDL, Fallout en Zombieload. RIDL, Fallout en ZombieLoad zijn geavanceerde technieken om gegevens te verkrijgen die niet voor de gebruiker beschikbaar zouden moeten zijn. Bijvoorbeeld gegevens uit een proces dat onder administrator-rechten draait, of kernel-data. De technieken maken het ook mogelijk om vanuit een virtueel systeem data van het host-systeem te verkrijgen. Om RIDL, Fallout en ZombieLoad toe te passen is geavanceerde kennis en vaardigheden noodzakelijk. Meer informatie is te vinden op: https://www.mdsattacks.com en https://zombieloadattack.com/ Mogelijke oplossingen Mitigatie bestaat uit meerdere stappen: 1. Het installeren van nieuwe CPU microcode. Deze microcode wordt met het starten van het systeem geladen. 2. Het installeren van een besturingssysteembeveiligingsupdate die deze nieuwe microcode gebruikt. Zonder nieuwe microcode hebben deze updates geen effect. 3. Voor gevirtualiseerde omgevingen kan het nodig zijn om een update te installeren voor de host-omgeving. 4. Browserleveranciers hebben voor de Spectre en Meltdown kwetsbaarheden mitigerende updates uitgebracht. Deze hebben ook een mitigerend effect op RIDL en Fallout. Zorg er dus voor dat u recente browsers draait. Het is niet bekend wat de performance-impact van de mitigatie is. De impact is in ieder geval afhankelijk van de soort code die wordt gedraaid. Hierom is het aan te raden het systeem te monitoren op performance in relatie met zijn eigenlijke taak, voor en na het toepassen van de mitigatie. Tenzij anders aangegeven betreffen de volgende advisories de verzameling kwetsbaarheden aangeduid met de volgende kenmerken: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 en CVE-2019-11091. Intel heeft informatie over de betreffende kwetsbaarheden beschikbaar gemaakt op: https://www.intel.com/content/www/us/en/architecture-and-technology /mds.html https://www.intel.com/content/www/us/en/security-center/advisory /intel-sa-00233.html https://www.intel.com/content/dam/www/public/us/en/documents /corporate-information /SA00233-microcode-update-guidance_05132019.pdf -= AIX =- AIX heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen. Meer informatie kunt u vinden op onderstaande pagina: https://www-01.ibm.com/support/docview.wss?uid=isg3T1026912 -= Debian =- Debian heeft updates van linux beschikbaar gesteld voor Debian 8.0 (Jessie) en Debian 9.0 (Stretch) om de kwetsbaarheden te verhelpen. U kunt de aangepaste packages installeren door gebruik te maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande pagina: Debian 8.0 (Jessie): https://lists.debian.org/debian-lts-announce/2019/05/msg00042.html Debian 9.0 (Stretch): https://www.debian.org/security/2019/dsa-4444 -= Fedora =- Fedora heeft updates beschikbaar gesteld voor Fedora 28, 29 en 30. U kunt deze updates installeren met behulp van het commando 'dnf' of 'yum'. Meer informatie over deze updates en over een eventueel handmatige installatie vindt u op: Fedora 28 en Kernel-headers: https://lists.fedoraproject.org/archives/list /package-announce@lists.fedoraproject.org/message /I5MXDGHOOCICVUJNUMMEXFOIUTRMU3LN/ Fedora 28 en Kernel: https://lists.fedoraproject.org/archives/list /package-announce@lists.fedoraproject.org/message /KPWHQHNM2MSGO3FDJVIQXQNKYVR7TV45/ Fedora 29 en Xen: https://lists.fedoraproject.org/archives/list /package-announce@lists.fedoraproject.org/message /OH73SGTJ575OBCPSJFX6LX7KP2KZIEN4/ Fedora 30 en Xen: https://lists.fedoraproject.org/archives/list /package-announce@lists.fedoraproject.org/message /RREVXTDNJJBRYC7JCONG5O3AQGOUE6IO/ -= FreeBSD =- FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen. Meer informatie kunt u vinden op onderstaande pagina: https://www.freebsd.org/security/advisories/FreeBSD-SA-19:07.mds.asc -= Lenovo =- Lenovo heeft voor diverse systemen BIOS updates met nieuwe microcode beschikbaar gemaakt. In de changelog voor uw BIOS update kunt u terugvinden of CVE-2018-12126, CVE-2018-12127 en CVE-2018-12130 worden gemitigeerd. Informatie over het installeren van bios updates op Lenovo systemen kunt u alvast naslaan op: https://support.lenovo.com/nl/nl/solutions/HT500008 -= Linux =- Linux gebruikers kunnen de utility iucode-tool gebruiken. Hiervoor moet iucode-tool geïnstalleerd worden en de laatste microcode van de site van Intel gedownload. Uw distributie heeft vermoedelijk de mogelijkheid om de update altijd automatisch uit te voeren vanuit de initial ramdisk tijdens het opstarten. https://gitlab.com/iucode-tool/iucode-tool/wikis/home https://downloadcenter.intel.com/download/28087 /Linux-Processor-Microcode-Data-File -= Microsoft Windows =- Microsoft heeft Windows updates uitgebracht die, mits er microcode updates geinstalleerd zijn de kwetsbaarheden helpen mitigeren. Gebruikers van Windows 10 kunnen een losse update gebruiken om bij het opstarten de nieuwste CPU microcode te laden. Andere windows gebruikers zullen een BIOS update van hun hardware leverancier nodig hebben. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory /ADV190013 -= Oracle =- Oracle heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen. Meer informatie kunt u vinden op onderstaande pagina's: Kernel voor Oracle Linux 6 https://linux.oracle.com/errata/ELSA-2019-1169.html Libvirt voor Oracle Linux 6 https://linux.oracle.com/errata/ELSA-2019-1180.html Qemu-kvm voor Oracle Linux 6 https://linux.oracle.com/errata/ELSA-2019-1181.html Qemu-kvm voor Oracle Linux 7 https://linux.oracle.com/errata/ELSA-2019-4630.html -= Red Hat =- Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise Linux 6 en 7. U kunt deze updates installeren met behulp van het commando 'yum'. Meer informatie over deze updates en over een eventueel handmatige installatie vindt u op: Kernel voor RHEL 6 https://access.redhat.com/errata/RHSA-2019:1169 Libvirt voor RHEL 6 https://access.redhat.com/errata/RHSA-2019:1180 Qemu-kvm voor RHEL 6 https://access.redhat.com/errata/RHSA-2019:1181 Kernel voor RHEL 7: https://access.redhat.com/errata/RHSA-2019:1168 Libvirt voor RHEL 7 https://access.redhat.com/errata/RHSA-2019:1177 Qemu-kvm voor RHEL 7: https://access.redhat.com/errata/RHSA-2019:1178 Virtualization voor RHEL 7 https://access.redhat.com/errata/RHSA-2019:1179 -= OpenSUSE =- De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om de kwetsbaarheden te verhelpen in libvirt voor OpenSUSE Leap 15.0. U kunt deze aangepaste packages installeren door gebruik te maken van 'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig downloaden van de OpenSUSE downloadserver (download.opensuse.org). Voor meer informatie, zie: https://lists.opensuse.org/opensuse-updates/2019-06/msg00023.html -= SUSE =- SUSE heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen in SUSE 12. U kunt deze aangepaste packages installeren door gebruik te maken van 'YaST'. U kunt de packages ook handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie: Qemu voor SUSE 12-SP3: http://lists.suse.com/pipermail/sle-updates/2019-May/011503.html Qemu voor SUSE 12-SP4 voor de kwetsbaarheden met de kenmerken CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2018-20815, CVE-2019-11091, CVE-2019-3812, CVE-2019-8934 en CVE-2019-9824: http://lists.suse.com/pipermail/sle-updates/2019-May/011495.html ucode-intel voor SUSE 11 en 12 http://lists.suse.com/pipermail/sle-updates/2019-May/011501.html kvm voor SUSE Enterprise Server 11 voor de kwetsbaarheden met de kenmerken CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2018-20815, CVE-2019-11091 en CVE-2019-9824: https://www.suse.com/support/update/announcement/2019 /suse-su-201914052-1/ -= Ubuntu =- Canonical heeft updates beschikbaar gesteld voor Ubuntu 16.04 LTS, 18.04 LTS, 18.10 en 19.04 om de kwetsbaarheden te verhelpen. U kunt de aangepaste packages installeren door gebruik te maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande pagina's: Intel-microcode: https://usn.ubuntu.com/3977-1/ Libvirt: https://usn.ubuntu.com/3985-1/ Linux: https://usn.ubuntu.com/3980-1/ Linux voor Ubuntu 19.04: https://usn.ubuntu.com/3979-1/ Qemu: https://usn.ubuntu.com/3978-1/ -= VMware =- VMware heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen. Meer informatie kunt u vinden op onderstaande pagina: https://www.vmware.com/security/advisories/VMSA-2019-0008.html Hyperlinks https://mdsattacks.com/ https://www.nrc.nl/nieuws/2019/05/14 /vu-ontdekt-megalek-in-intel-chips-a3960207 https://zombieloadattack.com/ Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 502) Charset: utf-8 wsDVAwUBXPZfAn+MTEyIH2VcAQosCAwAje+SRsS1n+j/J40AMYS0iRFRJoetD+MA aeKHHEg++9SQcq8kd/cx+1PiCJhnGdlU7U3Cj5UbMPYzPIyDYPStBl3UexUi1179 spvj18FFtenFaxU6GGsmfCWVq4VirNLXMvHwmX34mdPTpYYZV/wk08vNLTYiQ9Tx erhNn+TBLKMQj8+RlHTVwj5/NNNVDNjRlj/lGz/9NBuo6FFVCYPuRk5/TrRB+aip gnJs0O8ErxbAuAhiQMVZxFStw473Q/kDHeLr7ZY3witK/mw/QNK6znnSM/8vs4RJ HNwe4YRNpKslZyW/ZfsxM9bWoCdrfh44cOtKOqGlfwnn7WE45ZoDKqkiGojcM6Ku o97W48eVCTSxaFdWTGweZAAfsUEDAFk1vRuCovI+IWtB15+T2J7lcOwbZavVCdX9 sNuFdP9FALZcWkG/S/CTebM0E53iIgbNcL3Ymq5BHTLTq0E2bInWeWtqkXF6hK1a /am3tREu5lRTB6aePFAuPHxik/M8LuZz =QZaE -----END PGP SIGNATURE-----