Oracle komt met fixes voor Spectre-kwetsbaarheden die Linux-systemen treffen

Oracle heeft patches uitgebracht voor de recentste Spectre CPU-kwetsbaarheden. Ook is er een fix uitgebracht voor het probleem waarbij Intel CPU’s niet zomaar een Lazy floating-point unit (FPU) kunnen herstellen.

De updates van Oracle lossen de kwetsbaarheden in de Spectre CPU’s op, die in mei onthuld werden. Het gaat onder meer om CVE-2018-3640 (ook wel bekend als Spectre variant 3a) en CVE-2018-3639 (ook wel bekend als Spectre variant 4). De fix voor Spectre 3a omvat enkel updates voor de microcode, waar die voor Spectre 4 zowel voor de microcode als de software updates vereist.

De updates

Oracle heeft de software-patches uitgebracht voor Oracle Linux en Oracle VM. Volgens Oracle’s directeur van security assurance, Eric Maurice, zal het bedrijf de komende tijd vaker updates uitbrengen aan de microcode en firmware. Daarvan is het wel voor een deel afhankelijk van Intel, dat de updates weer breder beschikbaar maakt.

Niet alleen zijn er updates uitgerold voor Spectre 3a en 4, ook heeft Oracle updates uitgebracht voor de Red Hat Compatible Kernel (RHCK). Deze updates pakken de CVE-2018-3665 kwetsbaarheid aan; een Lazy FPU probleem dat invloed heeft op besturingssystemen en VM’s die draaien op x86-microprocessoren. Deze update kan geïnstalleerd worden door middel van de Ksplice-tool voor het patchen van Oracle Linux.

Ook zijn er Ksplice-updates uitgebracht voor de Oracle Unbreakable Enterprise Kernel Release 4 (UEKR4) op Oracle Linux 6 en Oracle Linux 7. Deze updates brengen fixes uit voor Spectre variant 2 en Spectre variant 3a.