Während es in der Regel Programmen nicht erlaubt ist, Daten von anderen Programmen auszulesen, kann ein bösartiges Programm die Sicherheitslücken „Meltdown“ und „Spectre“ ausnutzen, um an Daten zu gelangen, die im Speicher anderer laufender Programme gespeichert sind.
Meltdown (CVE-2017-5754)
Meltdown ermöglicht es, auf Speicherbereiche des Kernels zuzugreifen, die eigentlich vor dem Zugriff durch den Prozess geschützt sein sollten. So ist es etwa mögliche, sensitive Informationen auszulesen. Meltdown kann durch Software-Maßnahmen im Kernel der Betriebssytems behoben werden, allerdings gehen mit dieser Maßnahme teilweise empfindliche Performance-Einbußen einher. Das genaue Ausmaß des Performance-Verlustes hängt hier aber stark von der Charakteristik und der Beschaffenheit des Programms ab.
Spectre (CVE-2017-5753 und CVE-2017-7515)
Spectre nützt eine Schwachstelle bei der Hardware-Implementierung der „speculative execution“ von CPUs aus. Diese Schwachstelle kann auf Software-Ebene nur teilweise behoben werden. Neuere Microcode-Versionen für Intel und AMD versuchen, einen Teil der Bedrohung zu entschärfen. Um das Problem nachhaltig zu lösen, bedarf es aber Änderungen am Hardware-Design der CPU.
Performance-Auswirkungen
Redhat gibt in einem detaillierten Artikel (“Speculative Execution Exploit Performance Impacts – Describing the performance impacts to security patches for CVE-2017-5754 CVE-2017-5753 and CVE-2017-5715”, https://access.redhat.com/articles/3307751) Überblick über erwartbare Performance-Einbußen. Für OLTP-Anwendungen konnte Redhat einen Performance-Verlust von 8-19% feststellen.
Was ist zu tun?
Prinzipiell ist es ratsam, die betroffenen Systeme zu aktualisieren, wobei für jedes System individuell beurteilt werden muss, welchem Risiko es ausgesetzt ist und ob die möglichen Performance-Einbußen für das System tolerierbar sind.
Eine exakte Schätzung der Veränderung in der Systemleistung ist im Vorfeld schwierig, sofern nicht ein exakt gleich dimensioniertes Testsystem zur Verfügung steht, auf welchem die Workload der Produktion simuliert werden kann.
Usere Experten haben bereits viele Erfahrungen gesammelt und unterstützen Sie dabei, Ihr System zu patchen und vorab die Performance Auswirkungen auf Ihr System einzuschätzen.
Aktualisierte Pakete und Kernel-Versionen
Oracle stellt mittlerweile für die Produkte Oracle Enterprise Linux 6 (OEL6), Oracle Enterprise Linux 7 (OEL7) und Oracle VM Server (OVM 3.4) aktualisierte Pakete zur Verfügung.
In den unten angeführten Tabellen sind die – mit Stand 15.01.2018 – verfügbaren Updates ersichtlich.
OEL6
| Paket | Version | Fix für CVE-2017-* |
| kernel-uek (UEKR4) | 4.1.12-112.14.11.el6uek | 5754, 5715, 5753 |
| kernel (RHEL) | 2.6.32-696.18.7.el6 | 5754, 5715, 5753 |
| libvirt-* | 0.10.2-62.0.1.el6_9.1 | 5715 |
| microcode_ctl | 1.17-25.2.el6_9 | 5715 |
| qemu-* | 0.12.1.2-2.503.el6_9.4 | 5715 |
OEL7
| Paket | Version | Fix für CVE-2017-* |
| kernel-uek (UEKR4) | 4.1.12-112.14.11.el6uek | 5754, 5715, 5753 |
| kernel (RHEL) | 3.10.0-693.11.6.el7 | 5754, 5715, 5753 |
| libvirt-* | 3.2.0-14.0.1.el7_4.7 | 5715 |
| microcode_ctl | 2.1-22.2.el7 | 5715 |
| qemu-* | 1.5.3-141.el7_4.6 | 5715 |
OVM-Server (3.4)
| Paket | Version | Fix für CVE-2017-* |
| kernel-uek (UEKR4) | 4.1.12-112.14.11.el6uek | 5754, 5715, 5753 |
| xen | 4.4.4-155.0.12.el6 | 5754, 5715, 5753 |
| microcode_ctl | 1.17-25.2.0.1.el6_9 | 5715 |
| qemu-* | 0.12.1.2-2.503.el6_9.4 | 5715 |
