UPDATE: Nach einem Hinweis von Falco in den Kommentaren zu dem anderen Artikel muss ich meine Aussage zu den Hypervisorbreakouts revidieren. Nach genauerer Recherche aufgrund des Hinweises im VMware Advisory, muss konstatiert werden, dass es mittels der Variante aus CVE-2017-5715 sehr wohl möglich ist, den Speicher des Hypervisor auszulesen und damit Daten anderer, eigentlich nicht sichtbarer VMs auf dem gleichen System auszulesen!
Mit Spectre/Meltdown hat uns heute eine ziemlich deftige Hiobsbotschaft erreicht. Zwei verwandte Fehler in den CPUs selbst ermöglichen es, die Speicherisolation zwischen Prozessen zu umgehen und somit ohne besondere Privilegien den gesamten Hauptspeicher auszulesen.
Auswirkungen
Beide Fehler ermöglichen es, Speicher aus anderen Prozessen und im Falle von Meltdown sogar aus dem Kernel auszulesen. Damit ist es möglich alle Daten aus anderen Prozessen abzufischen und somit Passwörter, Keys und alles andere ohne Spuren oder besondere Berechtigungen abseits des Ausführens von Code zu erlangen.
Betroffen sind bei Meltdown praktisch alle Intel und kompatiblen CPUs. Spectre funktioniert zusätzlich auf ARM, RISC, MIPS und IBM Power (und wahrscheinlich auf vielen weiteren CPUs, welche die benötigten Features unterstützen).
Auf der „positiven“ Seite scheint es sich bei beiden Bugs nicht um Hypervisor Ausbrüche zu handeln. Das bedeutet, dass es nicht möglich ist, aus einer VM heraus auf den Hypervisor zuzugreifen. Die in den Angriffen geschilderten Mechanismen schließen Auswirkungen auf dieser Ebene allerdings auch nicht explizit aus, so dass man auch hier vorsichtig sein sollte und die Systeme (sowohl Hypervisor, als auch VM) gepatched haten sollte.
Fehlerbehebung
Meltdown wird von allen Herstellern von Betriebsystemen im Betriebsystem selber gefixed, um das Problem der betroffenen CPUs zu umgehen. Patches von allen großen Hersteller sind bereits verfügbar oder aktuell in Arbeit. Spectre ist deutlich schwieriger zu unterbinden, aber auch hier wird an Fixes gearbeitet. Ein endgültiger Fix ist nur möglich, indem die betroffenen CPUs gefixed werden.
Es bleibt den Admins und Anwendern nur, die entsprechenden Patches zu installieren und zu warten.
Details
Weitere Details für technisch Interessierte finden sich in meinem Beitrag „Analyse und Erklärung zu den Meltdown und Spectre Sicherheitsproblemen“.
Links
- Offizielle Seite zu Meltdown/Spectre
- Google Project Zero Blogeintrag
- CVE Einträge zu Spectre (2) und Meltdown
- Python Sweetness bringt als erster die Details zusammen
- LWN Artikel zu KPTI/KAISER mit ein wenig Spekulation vom 20.12.2017
- Gute Übersicht zu aktuellen Patches
Security Advisories (zum Zeitpunkt der Veröffentlichung)
- RedHat
- Debian
- Xen
- Ubuntu (Wiki), Security Advisories 1, 2, 3, 4, 5, 6, 7
- VMware
- SuSE
- Amazon (AWS)
- Microsoft
- Citrix
- Apple
- Mozilla Spectre Mitigation
- Cisco
- NetApp
Patrick Dreker
Patrick arbeitet seit 2006 bei der Proact Deutschland GmbH und bearbeitet dort die Themenfelder OpenStack, Cloud, Linux, Automatisierung und DevOps. Sein erster Linux Kernel war 1.2.13 und was Netscape und NCSA Mosaic waren, weiß er auch noch.
