[BSI CERT] VMware vCenter (Meltdown, Spectre)

CERT-Bund Meldung
—————–

KURZINFO CB-K18/0257 UPDATE 1
Titel:              VMware Virtual Appliances: Mehrere Schwachstellen
ermöglichen u.a. das Ausspähen von Informationen
Datum:              16.02.2018
Software:           VMware vCenter Server (vCSA) 6.0, VMware vCenter
Server (vCSA) 6.5, VMware vSphere Data Protection
(VDP) 6.x
Plattform:          VMware vCenter Server (vCSA), VMware vSphere Data
Protection (VDP)
Auswirkung:         Ausspähen von Informationen
Remoteangriff:      Nein
Risiko:             hoch
CVE Liste:          CVE-2017-5753, CVE-2017-5754
Bezug:              https://www.vmware.com/us/security/advisories/VMSA-2018-0007.1.html

REVISIONS HISTORIE
Version: 2
VMware hat die aktualisierte Sicherheitsmeldung VMSA-2018-0007.1
veröffentlicht und informiert darüber auch in einem Blog-Beitrag,
um klarzustellen, welche der Angriffsvarianten durch die derzeit
verfügbaren Sicherheitsupdates mitigiert werden. CVE-2017-5715
(Spectre-2) wurde durch diese noch nicht adressiert und deshalb
entfernt, während Mitigationen für die von einigen als besonders
schwerwiegend und ausnutzbar angesehene Schwachstelle
CVE-2017-5754 (Meltdown) sowie CVE-2017-5753 (Spectre-1) bereits
enthalten sind, weshalb die Installation der aktuellen
Sicherheitsupdates empfohlen wird.

Version: 1
Neues Advisory

BESCHREIBUNG
VMware vCenter Server bietet eine zentrale, erweiterungsfähige Plattform
für das Management virtueller Infrastruktur.

VMware vSphere Data Protection basiert auf der EMC Avamar Backup und
Restore Software und ist in die Verwaltung von vSphere integriert. Das
gilt sowohl für den vSphere Web Client, wie auch für den vCenter Server.

Die als ‚Spectre‘ und ‚Meltdown‘ bekannten Schwachstellen CVE-2017-5715,
CVE-2017-5753 und CVE-2017-5754 betreffen auch eine Reihe von VMware
Produkten, unter anderem vCenter Server (vCSA) und vSphere Data
Protection (VDP). Ein nicht authentisierter Angreifer im benachbarten
Netzwerk, beispielsweise als Benutzer einer virtuellen Maschine, kann die
Schwachstellen laut Hersteller ausnutzen, um Informationen aus anderen
virtuellen Maschinen auf demselben Host auszuspähen und dadurch weitere
Angriffe durchzuführen.

Die Schwachstellen betreffen unter anderem vCenter Server (vCSA) 6.0 und
6.5 und vSphere Data Protection (VDP) 6.x. Bislang stellt der Hersteller
für diese noch keine Sicherheitsupdates bereit. Für vCenter Server wird
auf eine Mitigation / Workaround verwiesenen (siehe ‚vCenter Server
Appliance (and PSC) 6.5 / 6.0 Workaround for CVE-2017-5753,
CVE-2017-5715, CVE-2017-5754 (aka Spectre and Meltdown) (52312)‘
während für vSphere Data Protection keine Abwehrmaßnahmen beschrieben
werden, bis ein Patch in Zukunft zur Verfügung gestellt werden soll.
Einen Zeithorizont für die Patches hat der Hersteller ebenfalls noch
nicht genannt.

[1] Schwachstelle CVE-2017-5715 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5715>
[2] Schwachstelle CVE-2017-5753 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5753>
[3] Schwachstelle CVE-2017-5754 (NVD)
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5754>
[4] VMware Security Advisories VMSA-2018-0007
<https://www.vmware.com/us/security/advisories/VMSA-2018-0007.html>
[5] vCenter Server Appliance (and PSC) 6.5 / 6.0 Workaround for
CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 (aka Spectre and
Meltdown) (52312)
<https://kb.vmware.com/s/article/52312>
[6] VMware Security Advisories VMSA-2018-0007.1
<https://www.vmware.com/us/security/advisories/VMSA-2018-0007.1.html>
[7] VMware Security & Compliance Blog: VMSA-2018-0007.1 – VMware Virtual
Appliance updates address side-channel analysis due to speculative
execution
<https://blogs.vmware.com/security/2018/02/vmsa-2018-0007-1-vmware-virtual-appliance-updates-address-side-channel-analysis-due-speculative-execution.html>

Mit freundlichen Grüßen
das Team CERT-Bund

——————————————–
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat C 21
Godesberger Allee 185 -189
53175 Bonn

Postfach 20 03 63
53133 Bonn

Telefon:
+49 (0)228 99 9582 222
Telefax:
+49 (0)228 99 9582 5427
E-Mail:   wid-kontakt@bsi.bund.de
Internet: www.cert-bund.de

——————————————–

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.