{"id":2530,"date":"2020-06-12T10:50:44","date_gmt":"2020-06-12T08:50:44","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=2530"},"modified":"2020-06-12T10:52:05","modified_gmt":"2020-06-12T08:52:05","slug":"cve-ist-mein-rhel-system-betroffen-was-kann-ich-tun","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/cve-ist-mein-rhel-system-betroffen-was-kann-ich-tun\/","title":{"rendered":"CVE &#8212; Ist mein RHEL-System betroffen? Was kann ich tun?"},"content":{"rendered":"\n<p>Regelm\u00e4\u00dfig berichtet die IT-Fachpresse \u00fcber neue <a rel=\"noreferrer noopener\" href=\"https:\/\/de.wikipedia.org\/wiki\/Common_Vulnerabilities_and_Exposures\" target=\"_blank\">Common Vulnerabilities and Exposures (CVE)<\/a>. Dieser Artikel m\u00f6chte euch eine kleine Hilfestellung geben, um herauszufinden, ob euer RHEL-System von einem CVE betroffen ist.<\/p>\n\n\n\n<p>In unserem Rechenzentrum betreibe ich ein <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/ansible-patch-management-fuer-red-hat-systeme\/\">Patchmanagement mit Ansible<\/a> f\u00fcr unsere RHEL-Systeme. Dieses stellt sicher, dass einmal im Monat verf\u00fcgbare <a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/articles\/2130961\" target=\"_blank\">Red Hat Security Advisories (RHSA)<\/a> auf allen RHEL-Systemen installiert werden. Damit gew\u00e4hrleisten wir ein Mindestma\u00df an Sicherheit. Selbstverst\u00e4ndlich k\u00f6nnen dar\u00fcber hinaus alle System-Betreiber*innen zu jeder Zeit verf\u00fcgbare Updates auf den von ihnen betreuten Servern installieren.<\/p>\n\n\n\n<p>Wie eingangs erw\u00e4hnt berichtet in der Regel die IT-Fachpresse \u00fcber neue Sicherheitsl\u00fccken und Schwachstellen. Diese Meldungen enthalten h\u00e4ufig auch die sogenannten <a rel=\"noreferrer noopener\" href=\"https:\/\/de.wikipedia.org\/wiki\/Common_Vulnerabilities_and_Exposures\" target=\"_blank\">CVE-Nummern<\/a>, welche eine Schwachstelle\/Sicherheitsl\u00fccke eindeutig identifizieren. Mit Hilfe dieser Nummer k\u00f6nnt ihr feststellen, ob euer RHEL-System verwundbar ist und ob ggf. schon ein Patch existiert, welcher das Problem behebt.<\/p>\n\n\n\n<p>F\u00fcr diesen Text habe ich exemplarisch zwei Schwachstellen ausgew\u00e4hlt:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.heise.de\/news\/Neue-CPU-Sicherheitsluecken-in-Intel-Prozessoren-umgehen-Kern-Grenzen-4780215.html\" target=\"_blank\">heise online: Neue CPU-Sicherheitsl\u00fccken in Intel-Prozessoren umgehen Kern-Grenzen &#8212; CVE-2020-0543<\/a><\/li><li><a href=\"https:\/\/www.heise.de\/security\/meldung\/Massives-Sicherheitsproblem-in-GnuTLS-erlaubt-Mitlesen-von-Kommunikation-4779992.html\" target=\"_blank\" rel=\"noreferrer noopener\">heise online: Massives Sicherheitsproblem in GnuTLS erlaubt Mitlesen von Kommunikation &#8212; CVE-2020-13777<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Nutzung der Red Hat CVE-Datenbank<\/h2>\n\n\n\n<p>Red Hat betreibt eine CVE-Datenbank unter der URL: <a href=\"https:\/\/access.redhat.com\/security\/security-updates\/#\/cve\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/access.redhat.com\/security\/security-updates\/#\/cve<\/a><\/p>\n\n\n\n<p>Hier kann man nach einer CVE-Nummer suchen und zu weiterf\u00fchrenden Informationen zu einer Schwachstelle gelangen (siehe Abb. 1). Hinter dem Link in der Tabelle verbirgt sich eine Detail-Seite f\u00fcr den jeweiligen CVE.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0543.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"485\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0543-800x485.png\" alt=\"screenshot-cve-database.png\" class=\"wp-image-2531\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0543-800x485.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0543-300x182.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0543-768x466.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0543-624x378.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0543.png 1440w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption>Abb. 1: Screenshot der Red Hat CVE-Datenbank f\u00fcr CVE-2020-0543<\/figcaption><\/figure>\n\n\n\n<p>Liefert eine Suche keine Treffer zur\u00fcck, kann dies verschiedene Ursachen haben (siehe Abb. 2).<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0595.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"485\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0595-800x485.png\" alt=\"screenshot-rh-cve-2020-0595.png\" class=\"wp-image-2532\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0595-800x485.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0595-300x182.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0595-768x466.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0595-624x378.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/rh-cve-2020-0595.png 1440w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption>Abb. 2: Red Hat CVE-Datenbank liefert nicht zu jeder CVE-Nummer einen Treffer<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Nutzung des Paket-Managers auf der Kommandozeile<\/h2>\n\n\n\n<p>Mit Hilfe des Paket-Managers <a rel=\"noreferrer noopener\" href=\"https:\/\/de.wikipedia.org\/wiki\/Yellowdog_Updater,_Modified\" target=\"_blank\">YUM<\/a> kann f\u00fcr jedes System individuell gepr\u00fcft werden, ob f\u00fcr einen CVE ein entsprechender Fix existiert. Der folgende Codeblock veranschaulicht dies:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>$ sudo yum updateinfo list --cve CVE-2020-0543                                \n&#91;...]\nRHSA-2020:2432 Moderate\/Sec. microcode_ctl-2:2.1-61.6.el7_8.x86_64\nupdateinfo list done\n$\n$ sudo yum updateinfo list --cve CVE-2020-13777\nLoaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager\nupdateinfo list done\n$<\/code><\/pre>\n\n\n\n<p>Die erste Abfrage nach CVE-2020-0543 zeigt, dass es ein Security-Advisory f\u00fcr ein installiertes Paket gibt, welches von der Schwachstelle betroffen ist. Gegen CVE-2020-13777 ist das System hingegen nicht verwundbar. Dies ist in diesem Fall der Tatsache geschuldet, dass GnuTLS auf dem genutzten System nicht installiert ist.<\/p>\n\n\n\n<p>Mit Hilfe des folgenden Befehls lassen sich auch auf der Kommandozeile weitere Informationen zu einem CVE abrufen:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>$ sudo yum updateinfo info --cve CVE-2020-0543 \nLoaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager\n\n===============================================================================\n  Moderate: microcode_ctl security, bug fix and enhancement update\n===============================================================================\n  Update ID : RHSA-2020:2432\n    Release : 0\n       Type : security\n     Status : final\n     Issued : 2020-06-09 18:20:28 UTC\n       Bugs : 1788786 - CVE-2020-0548 hw: Vector Register Data Sampling\n\t    : 1788788 - CVE-2020-0549 hw: L1D Cache Eviction Sampling\n\t    : 1827165 - CVE-2020-0543 hw: Special Register Buffer Data Sampling (SRBDS)\n       CVEs : CVE-2020-0543\n\t    : CVE-2020-0548\n\t    : CVE-2020-0549\nDescription : Security Fix(es):\n            : \n            : * hw: Special Register Buffer Data Sampling\n            :   (SRBDS) (CVE-2020-0543)\n            : \n            : * hw: L1D Cache Eviction Sampling (CVE-2020-0549)\n            : \n            : * hw: Vector Register Data Sampling\n            :   (CVE-2020-0548)\n            : \n            : For more details about the security issue(s),\n            : including the impact, a CVSS score,\n            : acknowledgments, and other related information,\n            : refer to the CVE page(s) listed in the References\n            : section.\n            : \n            : Bug Fix(es):\n            : \n            : * Update Intel CPU microcode to microcode-20200602\n            :   release, addresses:\n            :   - Update of 06-2d-06\/0x6d (SNB-E\/EN\/EP C1\/M0)\n            :     microcode from revision 0x61f up to 0x621;\n&#91;...]<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">CVE durch Update schlie\u00dfen<\/h2>\n\n\n\n<p>Ich pers\u00f6nlich empfehle in der Regel, das gesamte System mittels <code>sudo yum -y upgrade<\/code> zu aktualisieren und so alle installierten Pakete auf den aktuellsten Stand zu bringen. Es ist jedoch auch m\u00f6glich, nur die Updates zu installieren, die notwendig sind, um eine spezielle Schwachstelle zu schlie\u00dfen. Auch hierf\u00fcr wird wieder die CVE-Nummer genutzt:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>$ sudo yum upgrade --cve CVE-2020-0543\nLoaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager\n --> mock-2.2-1.el7.noarch from @epel removed (updateinfo)\n --> unbound-libs-1.6.6-3.el7.x86_64 from @rhel-7-server-rpms removed (updateinfo)\n --> mock-2.3-1.el7.noarch from epel removed (updateinfo)\n --> unbound-libs-1.6.6-4.el7_8.x86_64 from rhel-7-server-rpms removed (updateinfo)\n1 package(s) needed (+0 related) for security, out of 3 available\nResolving Dependencies\n--> Running transaction check\n---> Package microcode_ctl.x86_64 2:2.1-61.el7 will be updated\n---> Package microcode_ctl.x86_64 2:2.1-61.6.el7_8 will be an update\n--> Finished Dependency Resolution\n\nDependencies Resolved\n\n==============================================================================================================================================================\n Package                              Arch                          Version                                   Repository                                 Size\n==============================================================================================================================================================\nUpdating:\n microcode_ctl                        x86_64                        2:2.1-61.6.el7_8                          rhel-7-server-rpms                        2.6 M\n\nTransaction Summary\n==============================================================================================================================================================\nUpgrade  1 Package\n\nTotal size: 2.6 M\nIs this ok &#91;y\/d\/N]:<\/code><\/pre>\n\n\n\n<p>Obigem Code-Block ist zu entnehmen, dass Updates f\u00fcr insgesamt drei Pakete zur Verf\u00fcgung stehen. Um CVE-2020-0543 zu schlie\u00dfen, wird jedoch nur das Paket <code>microcode_ctl<\/code> aktualisiert. Die beiden anderen Pakete werden nicht ver\u00e4ndert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Weitere Informationsquellen zu diesem Thema<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>Manpage yum(8)<\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/solutions\/10021\" target=\"_blank\">Is it possible to limit yum so that it lists or installs only security updates?<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/articles\/2130961\" target=\"_blank\">Explaining Red Hat Errata (RHSA, RHBA, and RHEA)<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/blogs\/766093\/posts\/2998921\" target=\"_blank\">Determining your risk<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/blogs\/766093\/posts\/1976333\" target=\"_blank\">Is your software fixed?<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/changelog-eines-rpm-pakets-unter-rhelcentos-anzeigen\/\" target=\"_blank\" rel=\"noreferrer noopener\">Changelog eines RPM-Pakets unter RHEL\/CentOS anzeigen<\/a><\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Regelm\u00e4\u00dfig berichtet die IT-Fachpresse \u00fcber neue Common Vulnerabilities and Exposures (CVE). Dieser Artikel m\u00f6chte euch eine kleine Hilfestellung geben, um herauszufinden, ob euer RHEL-System von einem CVE betroffen ist. In unserem Rechenzentrum betreibe ich ein Patchmanagement mit Ansible f\u00fcr unsere RHEL-Systeme. Dieses stellt sicher, dass einmal im Monat verf\u00fcgbare Red Hat Security Advisories (RHSA) auf<span class=\"continue-reading\"> <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/cve-ist-mein-rhel-system-betroffen-was-kann-ich-tun\/\">[Weiterlesen&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[95],"tags":[579,580,430,305,578,389],"class_list":["post-2530","post","type-post","status-publish","format-standard","hentry","category-security-2","tag-cve","tag-erratas","tag-osbn","tag-planet","tag-red-hat-enterprise-linux","tag-rhel"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2530","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=2530"}],"version-history":[{"count":3,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2530\/revisions"}],"predecessor-version":[{"id":2535,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2530\/revisions\/2535"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=2530"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=2530"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=2530"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}