Debian DSA-4564-1：linux - 安全更新

high Nessus 插件 ID 130982

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在 Linux 内核中发现多个漏洞，可能导致权限升级、拒绝服务或信息泄漏。

- CVE-2018-12207 发现在使用扩展页表 (EPT) 支持硬件虚拟化的 Intel CPU 中，客户机 VM 可操纵内存管理硬件，造成机器检查错误 (MCE) 和拒绝服务（挂起或崩溃）。

客户机通过在没有 TLB 刷新的情况下更改页表来触发此错误，从而将相同虚拟地址的 4 KB 和 2 MB 条目加载到指令 TLB (iTLB) 中。此更新可在 KVM 中实施缓解措施，阻止客户机 VM 将 2 MB 条目加载到 iTLB 中。这样会降低客户机 VM 的性能。

有关此缓解措施的更多信息，请访问 linux-doc-4.9 或 linux-doc-4.19 程序包。

为 PSCHANGE_MC_NO 功能添加支持的 qemu 更新将通过 DSA 4566-1 提供，该功能允许在嵌套的虚拟机监控程序中禁用 iTLB Multihit 缓解措施。

如需 Intel 的问题说明，请访问

- CVE-2019-0154 Intel 在第 8 代和第 9 代 GPU 中发现，处于低功率状态的 GPU 读取某些寄存器时可导致系统挂起。有权使用 GPU 的本地用户可利用此漏洞造成拒绝服务。

此更新通过更改 i915 驱动程序来缓解问题。

如需受影响芯片（第 8 代和第 9 代）的列表，请访问。

- CVE-2019-0155 Intel 发现其第 9 代及更新 GPU 的 Blitter Command Streamer (BCS) 中缺少安全检查。有权使用 GPU 的本地用户可利用此漏洞，访问 GPU 有权访问的任何内存，从而造成拒绝服务（内存损坏或崩溃）、敏感信息泄露或权限提升。

此更新通过在 i915 驱动程序中添加安全检查来缓解问题。

如需受影响芯片（第 9 代及更新芯片）的列表，请访问。

- CVE-2019-11135 发现在支持事务内存 (TSX)（即将中止但仍可继续推测执行的事务）的 Intel CPU 上，可从内部缓冲区读取敏感数据并通过相关操作泄露数据。Intel 将此漏洞称为“TSX 异步中止”(TAA)。

对于受到之前发布的微架构数据采样 (MDS) 问题（CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091）影响的 CPU，现有缓解措施也可缓解此问题。

对于容易受到 TAA 影响但不易受到 MDS 影响的处理器，此更新默认禁用 TSX。此缓解措施需要更新的 CPU 微代码。更新的 intel 微代码程序包（仅非免费的 Debian 提供）将通过 DSA 4565-1 提供。更新后的 CPU 微代码还会作为系统固件 ('BIOS') 更新的一部分提供。

有关此缓解措施的更多信息，请访问 linux-doc-4.9 或 linux-doc-4.19 程序包。

如需 Intel 的问题说明，请访问