软件供应商开始修补 Retbleed CPU 漏洞

admin 2022年7月18日10:35:06评论52 views字数 1475阅读4分55秒阅读模式

供应商已开始推出软件更新,以解决最近披露的针对英特尔和 AMD 处理器的 Retbleed 推测执行攻击。

本周早些时候披露的Retbleed 是一种针对 retpolines(return trampolines)的新攻击技术,这是针对影响现代微处理器的 Spectre 侧信道攻击的广泛采用的缓解措施。

Reptolines 于 2018 年推出,以用返回代替间接跳转和调用,从而缓解分支错误预测将数据泄露给攻击者的问题。

然而,本周,瑞士苏黎世联邦理工学院的研究人员发表了一篇论文,证明利用 reptolines 泄漏内存是可行的,并且该攻击适用于启用了完整 Spectre 缓解措施的 Intel 和 AMD 处理器。

软件供应商开始修补 Retbleed CPU 漏洞

追踪漏洞为 CVE-2022-29901 和 CVE-2022-28693 的英特尔和追踪漏洞为 CVE-2022-29900 和 CVE-2022-23825 的 AMD 都宣布了针对这些漏洞的补丁程序,软件供应商已经也开始将它们推广给用户。

Citrix宣布了 Hypervisor 的修补程序,并指出这些错误“可能允许来宾 VM 内的代码推断主机上其他地方的 RAM 内存的内容”。只有在 AMD Zen 1 或 AMD Zen 2 处理器上运行 Hypervisor 的系统会受到影响,而不是那些使用 AMD Zen 3 CPU 或安装了所有先前更新的 Intel 芯片的系统。

“Citrix 已发布修补程序来解决此问题。Citrix 建议受影响的客户在其修补计划允许的情况下安装这些修补程序。请注意,在软件中修复此硬件问题可能会影响受影响 CPU 的性能,”Citrix 说。

VMware已确认所有四个漏洞都会影响其 ESXi 虚拟机管理程序,并且补丁可用于 ESXi 版本 7.0、6.7 和 6.5,以及 Cloud Foundation 版本 4.x 和 3.x。

“对虚拟机具有管理访问权限的恶意行为者可以利用各种旁通道 CPU 漏洞,这些漏洞可能会泄露存储在物理内存中的有关管理程序或驻留在同一 ESXi 主机上的其他虚拟机的信息,”VMware 指出。

作为周二补丁周期的一部分,微软宣布最新的 Windows 版本可以缓解影响 AMD 处理器的漏洞,建议客户应用最新的软件更新并实施额外的安全功能,如果允许不受信任的用户在其系统上执行任意代码.

Xen 项目也证实了影响 AMD CPU 的缺陷的影响,但仅限于运行 Zen2 或更早版本微处理器的系统——采用 AMD Zen3 和 Intel 芯片的系统不受影响。Xen 已经发布了稳定分支的补丁,并鼓励在应用它们之前更新到稳定分支。

Fedora表示,所有四个漏洞的修复都包含在 Fedora 36 更新中:kernel-5.18.11-200.fc36,其中包括稳定补丁和“为 5.18.12 内核计划的 Retbleed 补丁”。

SUSE Linux也证实了 CVE-2022-29900 和 CVE-2022-29901 对 SUSE Linux Enterprise Desktop、Enterprise Server、Enterprise Server for SAP Applications 和 Enterprise HPC 的影响。一些受影响的产品已经发布了补丁,但 SUSE 仍在努力解决其产品组合中的错误。

Ubuntu宣布内核更新正在进行中,但没有提供具体的可用性时间表。虽然Red Hat Enterprise Linux版本 6 到 9 受到 CVE-2022-29900 和 CVE-2022-29901 的影响,但 Red Hat 没有提供补丁的发布日期,但表示 Enterprise Linux 6 将保持未打补丁的状态。

原文始发于微信公众号(河南等级保护测评):软件供应商开始修补 Retbleed CPU 漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月18日10:35:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   软件供应商开始修补 Retbleed CPU 漏洞http://cn-sec.com/archives/1183007.html

发表评论

匿名网友 填写信息