AEpic Leak und SQUIP - neue Sicherheitslücken in Intel, AMD und ARM CPUs

10.08.2022 - Sicherheitsexperten von der TU Graz, Sapiens Uni Rom, Amazon AWS und CISPA haben eine neue Sicherheitslücke in Intel und AMD CPUs gefunden - AEpic Leck.           

Intel CPUs

Bei dieser Lücke handelt es sich um einen Bug in der Mikroarchitektur, mit dem man die Register des APIC - Advanced Programmable Interrupt Controllers nutzen kann, um Daten aus dem CPU-Caches zu lesen. Betroffen sind die neuen Intel Prozessoren der Generationen Ice Lake, Tiger Lake und Aller Lake (Core i-10000, i-11000, i-12000 sowie Xeon SP Gen 3). Allerdings benötigt man für den Zugriff Admin-Rechte.

Der Lücke wurde die CVE-2022-21233 zugeteilt. Intel hat schnell reagiert und stellt schon Microcode-Updates bereit - siehe Intel Security Advisory Intel-SA-00657.

AMD und ARM CPUs - SQUIP (Scheduler Queue Convention Side Channel) Seitenkanal Angriff

Bei den CPUs dieser beiden Hersteller handelt es sich um eine Lücke im Zusammenhang mit der Scheduler-Queue der Prozessorkerne in Kombination mit einem Seitenkanalangriff - ähnlich den Lücken vom Spectre-Type. Beim Angriff wird die Scheduler-Queue, die die anstehenden Befehle auf die einzelnen Cores des Prozessors verteilt, manipuliert. Betroffen sind davon AMD Prozessoren der Generation Zen 1, Zen 2 und Zen 3 sowie Apples M-Prozessoren. 

AMD liefert Informationen zu SQUIP im AMD Security Bulletin AMD-SB-1039 (Execution Unit Scheduler Contention Side-Channel Vulnerability on AMD Processors) mit einer Auflistung der betroffenen Prozessoren sowie weitere Informationen, wie man durch Änderungen am Code diese Lücke umgehen kann.

Oracle Critical Patch Update für Juli 2020 verfügbar

18.7.2020 -  Pünktlich hat Oracle den CPU Juli 2020 freigegeben.

Der Datenbank CPU behebt - neben den knapp 20 angeführten - in Summe über 50 Sicherheitslücken für Datenbanken von Oracle 11.2.0.4, 12.1.0.2 (beide nur mit Extended Support), 12.2.0.1, 18c und 19c ab. Einige der Lücken befinden sich im Spatial Umfeld (Studio, MapViewer, GeoRaster), das seit einiger Zeit für alle Datenbank Editionen gratis zur Verfügung steht. Wenn man sich die Risk Matrix genauer ansieht, so gibt es 3 Lücken mit einem Base Score von über 7 (von 10). Diese sind in folgenden Komponenten zu finden:

  • CVE-2016-1000031 MapViewer (Apache Commons FileUpload) mit einem Base Score von 8.8
  • CVE-2020-2968 Java VM mit einem Base Score von 8.0
  • CVE-2016-9843 Core RDBMS (zlib) mit einem Base Score von 7.2, allerdings ist hier nur Oracle 18c betroffen.

Relevant - aber mit einem Basis Score von 6.6 nicht ganz so kritisch - ist noch eine Lücke im Data Pump, wenn man zusätzlich DBA Berechtigungen hat. Viele der Lücken wurden auch in APEX behoben, allerdings weisen diese jeweils nur einen Score von 5.4 auf.

Empfehlungen

Wenn man die Java VM Option in der Datenbank installiert hat oder Oracle 18c einsetzt, sollte man den CPU unverzüglich einspielen. Gleiches gilt für die Nutzer von Spatial im Zusammenhang mit dem MapViewer und/oder GeoRaster.

Weiterführende Links

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Hilfreich ist auch folgender Ausgangspunkt:

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 31103343: DATABASE PATCH SET UPDATE 11.2.0.4.200714 (Patch)" zur Verfügung.

Oracle Critical Patch Update für Jänner 2020 verfügbar

16.1.2020 -  In der Nacht vom 14. auf den 15. Jänner hat Oracle den CPU Jänner 2020 freigegeben. Auch dieses Mal sind einige für Datenbanken relevante Security Patches dabei.

Es gibt zwei Patches für die Datenbank und einen für die JVM in der Datenbank, die allesamt einen Score von über 7 haben und damit relativ hoch eingestuft sind. Daher empfehlen wir, den Jan CPU 2020 einzuspielen. Die Patches gibt es für

  • 12.2.0.1/12.2.0.2,
  • 18c und
  • 19c
  • zwei sogar für 11.2.0.4.

Details zu den Security Leaks

  • CVE-2020-2510 betrifft den Datenbank Kern in den Versionen 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c und 19c. Die Vulnerability wird als schwierig umzusetzen beschrieben, erlaubt aber einem Angreifer ohne Authentifizierung mit Netzwerk-Zugang eventuell die Datenbank zu übernehmen. Es ist allerdings der (unbeteiligte) Zugriff von authorisierten Usern notwendig - offensichtlich können einem arglosen User gefährliche Aktionen untergeschoben werden.
  • CVE-2020-2511 betrifft ebenfalls den Datenbank Kern, dieses Mal in den Versionen 12.1.0.2, 12.2.0.1, 18c und 19c. Die Vulnerability erlaubt es, Angreifern mittels einer Session in der Datenbank DOS-Attacken gegen die Datenbank bzw andere Produkte auszuführen. Der Exploit wird als leicht durchführbar eingestuft.
  • CVE-2020-2518 betrifft die Java VM in der Datenbank. Betroffene Versionen sind 11.2.0.4, 12.1.0.1, 12.2.0.1, 18c und 19c.

Eigenen Angaben zufolge hat Oracle insgesamt 334 Updates veröffentlicht.

Weitere Links:

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Hilfreich ist auch folgender Ausgangspunkt:

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 30298532: DATABASE PATCH SET UPDATE 11.2.0.4.200114 (Patch)" zur Verfügung.

Oracle Critical Patch Update für April 2020 verfügbar

18.4.2020 -  Pünktlich hat Oracle den CPU April 2020 freigegeben.

Vor allem im Java Bereich sind einige kritische Lücken behoben worden.

Java in der Datenbank

Bisher war es so, dass bei der Nutzung von OJVM (Java in der Datenbank) immer zwei Patches eingespielt werden mussten: Der Datenbank (oder GI) CPU und der OJVM CPU. Beginnend mit dem Jan 2020 CPU hat Oracle folgende Änderung eingeführt:

  • Der jeweils letzte (nicht der aktuelle!!) OJVM CPU ist in den aktuellen Datenbank und GI CPUs inkludiert.
  • Es gibt immer einen aktuellen OJVM CPU, den man auch weiterhin zusätzlich installieren muss.

Das bedeutet konkret: Im aktuellen Datenbank April 2020 CPU sind ist der OJVM Jan 2020 CPU enthalten.

Behobene Security Leaks im JDK - OJVM

Dieser Security Patch bringt das JDK8 auf JDK8u251 und enthält folgende Security Fixes: CVE-2020-2803, CVE-2020-2805, CVE-2019-18197, CVE-2020-2781, CVE-2020-2830, CVE-2020-2800, CVE-2020-2754, CVE-2020-2755, CVE-2020-2773, CVE-2020-2756, CVE-2020-2757.

Verfügbare Datenbank Patches

Für die folgenden Datenbank Releases sind Patches verfügbar:

  • Oracle Datenbank 11.2.0.4 - nur für Kunden mit Extended Support
  • Oracle Datenbank 12.1.0.2 - nur für Kunden mit Extended Support
  • Oracle Datenbank 12.2.0.1 - hier hat Oracle einen Limited Error Correction Timeframe bis zum 31. März 2022 eingeführt!
  • Oracle Datenbank 18c - hier wird es voraussichtlich bis Juni 2021 Patches und CPUs geben
  • Oracle Datenbank 19c - für die "Long Term Stable" Oracle 12c Release wird es zumindest bis März 2023 Patches geben (und danach noch mindestens 3 Jahre lang extended Support)

Neu ist der Limited Error Correction Timeframe, den Oracle für die Version 12.2.0.1 anbietet. Aktuell wird bis zum 31. März 2022 folgendes für diese Datenbank Release behoben:

  • Severity 1 BUGs (inklusive Backports) ... das sind Bugs die zu Database down oder Datenkorruption führen können.
  • Security CPUs
  • Es gilt nur für folgende Platformen: Linux x86-64, Solaris x86-64, Solaris SPARC, IBM AIX on Power Systems, IBM Linux on System Z (ZLinux), HP-UX Itanium und Microsoft Windows x64

Sonstige BUGs werden nicht mehr behoben.

Empfehlungen bezüglich einspielen des CPUs

Wer JAVA (OJVM) in der Datenbank nutzt oder Oracle 12.1.0.2 mit Multimedia betreibt sollte den April 2020 CPU unbedingt umgehend einspielen. Gleiches gilt für alle, die HTTPS in/aus der Datenbank (XDB/WLM Funktionalität) bzw. APEX nutzen (oder auch nur installiert haben).

Für wer davon nicht betroffen ist, sollte den April 2020 CPU immer dann einspielen, wenn er die Möglichkeit dazu hat (geplante Downtimes, neue Datenbanken, etc).

Weiterführende Links

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Hilfreich ist auch folgender Ausgangspunkt:

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 30670774: DATABASE PATCH SET UPDATE 11.2.0.4.200414 (Patch)" zur Verfügung.

Intel behebt Zombieload nur teilweise

12.11.2019 - Intel hat heute in Summe 77 teils kritische Lücken behoben, darunter auch neu, bisher unbekannte Side-Channel-Attacken.

Leider ist es Intel dabei nicht gelungen, alle aktuellen Lücken und Varianten abzudecken. Speziell eine neue Variante von ZombieLoad kann immer noch ausgenützt werden.

Es wird jetzt einige Zeit dauern, bis die BIOS und Betriebsystemhersteller die Patches in Ihre Produkte integrieren. Im Gegensatz zu den Patches gegen Meltdown und Spectre soll die Performance nur um wenige % - Intel spricht von 4% - schlechter werden.

Weitere Informationen finden Sie unter Anderem hier: