Die Linux-Entwickler haben innerhalb einer Stunde neue Kernel-Versionen freigegeben, um die neuesten Sicherheitslücken in vielen modernen Intel-Prozessoren zu schließen.

Linux-Anwender müssen, um sich vor diesen "ZombieLoad" oder "Microarchitectural Data Sampling" (MDS) genannten Lücken zu schützen, ähnlich vorgehen wie im vergangenen August bei der Prozessorlücke Foreshadow/L1TF. Dabei muss Prozessor-Microcode und Kernel aktualisiert werden, sowie gegebenenfalls noch Qemu und Libvirt geschlossen werden, wenn mit dem Kernel-eigenen Hypervisor KVM virtualisiert wird.

Über einen neuen Kernel-Parameter lassen sich die MDS-Gegenmaßnamen ein- und ausschalten, denn ähnlich wie bei früheren Prozessorlücken können sie offenbar in manchen Fällen die Performance verschlechtern. Um sich vollständig abzusichern muss der Hyper-Threading (HT) über das BIOS-Setup oder einen Kernel-Parameter deaktiviert werden. Wichtig ist dies vor allem für Umgebungen, wo Fremde eigenen Code einbringen können. Dies gilt beispielsweise bei Cloud-Providern, wo Kunden virtuelle Maschinen (VMs) mit Malware starten können, um darüber VMs anderer Kunden anzugreifen, die auf demselben Host laufen.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE