Debian DSA-4564-1：linux - 安全性更新

high Nessus Plugin ID 130982

語系：

概要

遠端 Debian 主機缺少安全性相關更新。

說明

在 Linux 核心中發現數個弱點，這些弱點可能會導致權限提升、拒絕服務或資訊洩漏。

- CVE-2018-12207 據發現，在支援具有延伸分頁表 (EPT) 之硬體虛擬化的 Intel CPU 上，來賓 VM 可能會操控記憶體管理硬體，造成電腦檢查錯誤 (MCE) 和拒絕服務 (懸置或當機)。

來賓會在沒有 TLB 排清的情況下變更分頁表，進而觸發此錯誤，因此相同虛擬位址的 4 KB 和 2 MB 項目都會載入至指令 TLB (iTLB) 中。此更新在 KVM 中實作了一項緩解措施，可防止來賓 VM 將 2 MB 項目載入 iTLB。這會降低來賓 VM 的效能。

如需更多關於緩解措施的資訊，請參閱 linux-doc-4.9 或 linux-doc-4.19 套件。

將透過 DSA 4566-1 發佈支援 PSCHANGE_MC_NO 功能的 qemu 更新，其允許在巢狀 Hypervisor 中停用 iTLB Multihit 緩解措施。

如需瞭解 Intel 有關此問題的說明，請參閱

- CVE-2019-0154 Intel 發現，在其第 8 代和第 9 代 GPU 上，在 GPU 處於低功耗狀態時讀取特定暫存器可造成系統當機。獲准使用 GPU 的本機使用者可利用此問題造成拒絕服務。

此更新透過變更 i915 驅動程式來緩解問題的影響。

受影響的晶片 (gen8 和 gen9) 列於。

- CVE-2019-0155 Intel 發現，其第 9 代和更新的 GPU 在 Blitter Command Streamer (BCS) 中缺少安全性檢查。獲准使用 GPU 的本機使用者可利用此問題存取 GPU 有權存取的任何記憶體，進而導致拒絕服務 (記憶體損毀或當機)、敏感資訊洩漏或權限提升。

此更新透過新增針對 i915 驅動程式的安全性檢查來緩解問題的影響。

受影響的晶片 (自 gen9 開始) 列於。

- CVE-2019-11135 據發現，在支援交易記憶體 (TSX) 的 Intel CPU 上，即將中止的交易可能會以推測方式繼續執行，進而從內部緩衝區讀取敏感資料，並透過相依作業洩漏該資料。Intel 將這種情況稱為「TSX 非同步中止」(TAA)。

針對受到先前發佈之微架構資料採樣 (MDS) 問題 (CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091) 影響的 CPU，現有的緩解方法也可緩解此問題的影響。

針對容易受到 TAA 影響但不受 MDS 影響的處理器，此更新預設為停用 TSX。此緩解措施需要更新的 CPU 微碼。將透過 DSA 4565-1 提供更新後的 intel-microcode 套件 (僅在 Debian 中提供，但須收費)。也可以透過系統韌體 ('BIOS') 更新取得更新的 CPU 微碼。

如需更多關於緩解措施的資訊，請參閱 linux-doc-4.9 或 linux-doc-4.19 套件。

如需瞭解 Intel 有關此問題的說明，請參閱