Sicherheitslücken bei Meltdown Spectre

    Meltdown- und Spectre-Sicherheitslücken in der IDENTIKEY Appliance und der IDENTIKEY Virtual Appliance

    Beratungs-ID vasco-sa-20180118-Meltdown-Spectre-ia-iva

    Revisionsnummer 0,4

    Erscheinungsdatum 18. Januar 2018 17:00 UTC + 1

    Letztes Update 19. Januar 2018 12:00 UTC + 1

    Zusammenfassung

    Die Meltdown- und Spectre-Schwachstellen, die Intel-, AMD- und ARM-Prozessoren betreffen, ermöglichen es nicht privilegierten Rogue-Prozessen, den Kernel- und Benutzerprogrammspeicher zu lesen, wodurch Malware möglicherweise Kennwörter, kryptografische Schlüssel oder andere vertrauliche Informationen stehlen kann.

    Da sie anfällige Prozessoren verwenden oder mit hoher Wahrscheinlichkeit darauf angewiesen sind, sind sowohl die IDENTIKEY Appliance- als auch die IDENTIKEY Virtual Appliance-Produkte diesen Sicherheitsanfälligkeiten ausgesetzt. Das Risiko der Ausbeutung ist jedoch gering.

    Betroffene Produkte

    Die folgenden OneSpan-Produkte sind von den Sicherheitsanfälligkeiten Meltdown und Spectre betroffen:

    • IDENTIKEY Appliance 3000 Series, 5000 Series, 7000 Series
    • IDENTIKEY Virtual Appliance 1000-Serie, 2000-Serie, 4000-Serie, 8000-Serie

    Betroffene Produkte

    • IDENTIKEY Appliance
    • IDENTIKEY Virtual Appliance

    Beschreibung

    Die Ausnutzung der Meltdown- und Spectre-Schwachstellen kann nur durch dedizierte Malware erfolgen, die entweder auf der Appliance oder auf dem Computer ausgeführt wird, auf dem sich die virtuelle Appliance befindet. Diese Malware muss installiert sein und unter Ausnutzung anderer Sicherheitslücken ausgeführt werden. Ein typisches Angriffsszenario besteht darin, dass der Angreifer authentifiziert wird und das Recht hat, Code auszuführen.

    Die IDENTIKEY Appliance erlaubt keinen Shell-Zugriff, auch nicht für Administratoren. Daher ist es unwahrscheinlich, dass Malware installiert und ausgeführt wird und die Wahrscheinlichkeit einer Ausnutzung gering ist. In Bezug auf die IDENTIKEY Virtual Appliance hängt die Wahrscheinlichkeit einer Ausnutzung ferner von der Sicherheit des Host-Computers und des Hypervisors ab. Die Appliance befindet sich jedoch normalerweise in einem lokalen Netzwerk hinter einer Firewall und profitiert von lokal eingerichteten Sicherheitskontrollen, z. B. Authentifizierung und Zugriffskontrolle.

    Severity Score

    Die folgende Tabelle gibt den CVSS 2.0-Schwachstellenwert der Meltdown- und Spectre-Schwachstellen im Kontext der IDENTIKEY Appliance und der IDENTIKEY Virtual Appliance an.

    CVSS Base Score: 1.0

    Greifen Sie auf Vector zu

    		 Zugriffskomplexität Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
    Lokal Hoch Single Teilweise Keiner Keiner

     

    CVSS Temporal Score: 8.0
    Ausnutzbarkeit Sanierungsstufe Vertrauen melden
    Funktionell Offizieller Fix Bestätigt

     

    Produktkorrekturen

    Kunden, die die IDENTIKEY Appliance verwenden, sollten das IA-Update-Paket Version 3.14.15 anwenden, mit dem das Betriebssystem der Appliance gepatcht wird.

    Kunden, die IDENTIKEY Virtual Appliance verwenden, sollten das Update-Paket Version 3.14.15 anwenden, Patches für das Betriebssystem des Hosts sowie Patches für den Hypervisor (VMWare, Citrix oder Microsoft Virtual Environment) anwenden.

    Ort

    Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten.

    Referenz

    Offizielle Website zu den Sicherheitslücken Meltdown und Spectre: https://meltdownattack.com/

    Haftungsausschluss

    WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.

     

    Copyright © 2018 VASCO Data Security, Inc., VASCO Data Security International GmbH. Alle Rechte vorbehalten.

    Meltdown- und Spectre-Sicherheitslücken in IDENTIKEY Appliance und IDENTIKEY Virtual Applianc e