LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2248-1 intel-microcode

Bulletin d'alerte Debian

DLA-2248-1 intel-microcode -- Mise à jour de sécurité pour LTS

Date du rapport :

13 juin 2020

Paquets concernés :

intel-microcode

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-0543, CVE-2020-0548, CVE-2020-0549.

Plus de précisions :

Les CVE suivants ont été signalés à l’encontre de src:intel-microcode.

• CVE-2020-0543

  Une nouvelle attaque de contournement de domaine par exécution transitoire connue comme SRBDS (Special Register Buffer Data Sampling) a été découverte. Ce défaut permet que les valeurs de données dans des registres internes spéciaux peuvent être divulguées par un attaquant capable d’exécuter du code sur n’importe quel cœur du CPU. Un attaquant local, sans privilèges particuliers, peut utiliser ce défaut pour inférer des valeurs renvoyées par les instructions affectées, connues pour être couramment utilisées lors des opérations de chiffrement qui reposent sur l’unicité, la confidentialité ou les deux à la fois.

• CVE-2020-0548

  Un défaut a été découvert dans les processeurs Intel par lequel un attaquant local est capable d’obtenir des informations sur des registres utilisés pour des calculs de vecteur en observant l’état de registres d’autres processus en cours d’exécution sur le système. Cela conduisait à une situation de compétition où des tampons de stockage, qui n’étaient pas nettoyés, pourraient être lus par un autre processus ou CPU voisin. Le plus grand danger de cette vulnérabilité est la confidentialité des données lorsqu’un attaquant peut lire des données arbitraires lors de leur passage dans le processeur.

• CVE-2020-0549

  Un défaut temporel de microarchitecture a été découvert sur certains processeurs d’Intel. Un cas particulier existe dans lequel des données en transit lors du processus d’expulsion peuvent finir dans les tampons « fill » et n’être pas correctement nettoyées lors des mitigations MDS. Le contenu de ces tampons (qui étaient attendus vierges) peut être déduit en utilisant des méthodes d’attaque de style MDS ou TAA pour permettre à un attaquant local de présumer les valeurs de ces tampons.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.20200609.2~deb8u1.

Nous vous recommandons de mettre à jour vos paquets intel-microcode.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.