-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Kwetsbaarheid ontdekt in DDR4-geheugen (TRRespass)
Advisory ID : NCSC-2020-0180
Versie : 1.01
Kans : medium
CVE ID : CVE-2020-10255
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : medium
Toegang tot gevoelige gegevens
Uitgiftedatum : 20200519
Toepassing : AMD AMD64
AMD chipset
F5 BIG-IP
Intel Core
Intel IA64
Intel Xeon
Versie(s) :
Platform(s) :
Update
F5 Networks heeft een advisory uitgebracht om de kwetsbaarheid in
relatie tot zijn producten toe te lichten. Het bedrijf meldt dat
BIG-IP iSeries appliances en VIPRION B4450 blades kwetsbaar zijn.
Het gaat hierbij om de volgende producten in de BIG-IP-lijn:
* LTM
* AAM
* AFM
* Analytics
* APM
* ASM
* DNS
* FPS
* GTM
* Link Controller
* PEM
Er zijn geen updates beschikbaar die de kwetsbaarheid verhelpen.
Voor meer informatie, zie:
https://support.f5.com/csp/article
/K60570139?utm_source=f5support&utm_medium=RSS
Beschrijving
De afgelopen jaren is al vaker gewaarschuwd voor kwetsbaarheden in
geheugenmodules. Vandaag hebben onderzoekers een nieuwe
kwetsbaarheid bekend gemaakt in DDR4-modules.
In DDR4 wordt een techniek toegepast met de naam Target Row Refresh.
Door deze techniek, zo was de gedachte, zou het uitvoeren van
rowhammer-aanvallen onmogelijk of tenminste heel ingewikkeld zijn.
De onderzoekers hebben echter op DDR4-geheugenmodules van
verschillende leveranciers toch een manier gevonden om
rowhammer-aanvallen uit te voeren.
De onderzoekers die de TRR-kwetsbaarheid hebben beschreven hebben
hun bevindingen gepubliceerd in een paper die te vinden is op de
volgende pagina:
https://download.vusec.net/papers/trrespass_sp20.pdf
Mogelijke oplossingen
Voor deze kwetsbaarheden zijn geen mitigerende maatregelen bekend.
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8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=0teY
-----END PGP SIGNATURE-----
