Intel y los investigadores de seguridad publicaron una serie de problemas de seguridad que cubren varios componentes de hardware y software de Intel.

Intel ha publicado una descripción general de esos problemas en un artículo de blog .

SUSE está proporcionando actualizaciones para mitigar dos nuevos problemas de CPU Intel fuera de la lista anterior.

Error de comprobación de máquina en cambios de tamaño de página / CVE-2018-12207

Una condición de carrera durante la decodificación de instrucciones y la administración extendida de la tabla de páginas en las CPU Intel podría conducir a errores de verificación de la máquina (bloqueos de una CPU), un ataque de denegación de servicio.

Este problema podría ser utilizado por un atacante con acceso completo a una máquina virtual invitada para bloquear el host.

Esta condición de carrera existe en todas las CPU Intel actuales, excepto Intel Atom y Knights Landing. Consulte el documento técnico de Intel en la lista completa.

SUSE proporciona una mitigación de software para este problema en las actualizaciones de sus hipervisores, tanto para KVM en el kernel de Linux como para XEN.

La mitigación está habilitada de forma predeterminada, consulte nuestro Documento de información técnica para obtener detalles sobre cómo verificar su estado y configuración.

Los paquetes actualizados están vinculados desde nuestra página CVE-2018-12207 .

asincrónico transaccional (TAA) / CVE-2019-11135

Investigadores de TU Graz, KU Leuven, CISPA Helmholtz Center, grupo VUSec en VU Amsterdam han identificado un ataque adicional de fuga de información basado en CPU, similar al ataque de “Muestreo de datos de microarquitectura” (MDS) publicado en mayo de 2019.

Mostraron que durante un aborto asincrónico de una ejecución transaccional, se puede acceder especulativamente a varios buffers microarquitecturales que podrían causar efectos secundarios similares al ataque MDS, filtrando pequeñas cantidades de datos usados ​​recientemente o actualmente en el mismo núcleo de la CPU.

Intel ha proporcionado actualizaciones de Microcódigo, y SUSE proporciona paquetes fijos de Kernel y XEN para ayudar a mitigar este problema.

El documento técnico de Intel está disponible aquí .

Dependiendo del entorno, los administradores también deben considerar deshabilitar Hyperthreading y / o deshabilitar la compatibilidad con TSX. La desactivación de TSX solo es posible con la ayuda de las actualizaciones de microcódigo de CPU en Cascade Lake y sistemas más nuevos.

Las opciones para controlar las mitigaciones están disponibles y documentadas en nuestro TID .

Los paquetes actualizados están vinculados desde nuestra página CVE-2019-11135 .

SUSE ha proporcionado actualizaciones en línea para Linux Kernel, XEN, Intel CPU Microcode y qemu para mitigar estos problemas.