Update: IGEL stellt neue Fixes für Meltdown und Spectre bereit

Matthias Haas
Written by: Matthias HaasPublished: February 2, 2018

Bereits am 12. Januar haben wir die ersten Firmware-Updates für die beiden Schwachstellen Meltdown und Spectre veröffentlicht. Aufgrund weiterer Entwicklungen stellen wir nun aktualisierte Fixes für IGEL OS 10 bereit.

Die neue Version enthält den Kernel-Page-Table-Isolation-Patch (KPTI) für den Linux-Kernel, der Meltdown (CVE-2017-5754) behebt. Intel hat seine Prozessor-Microcode-Updates zurückgezogen, welche die Spectre-Variante-2-Schwachstelle (CVE-2017-5715) mildern sollten, da auf einigen Systemen unerwünschte Nebenwirkungen aufgetreten sind. IGEL hat diese Microcode-Updates von IGEL OS entfernt, wie von Intel empfohlen. Zusätzlich enthalten die Updates weitere Fixes für den IGEL OS-Kernel zur Behebung von einem Dutzend anderer Sicherheitslücken. Details dazu finden Sie in den Release Notes.

Mozilla Firefox wurde aktualisiert, um Benutzer vor einem Nebenkanal-Angriff zu schützen, der Spectre nutzt. Daneben wurde eine Reihe weiterer Schwachstellen behoben. Die Standard-SMB-Version in IGEL OS 10 wurde aus Sicherheitsgründen von 1.0 auf 2.0 geändert. Administratoren können jedoch bei Bedarf eine andere Version festlegen. Wir empfehlen, Ihre Geräte zu aktualisieren.

Folgende Versionen stehen zum Download zur Verfügung:

  • IGEL OS 10.03.570 (LX) für IGEL UD-LX-Geräte
  • IGEL OS 10.03.570 (OS) für den UD Pocket und Geräte von Drittanbietern, die mit dem UDC3 konvertiert wurden

Download unter: https://www.igel.com/software-downloads/

Informationen zu IGEL Linux 5
Derzeit gibt es keine Lösung für IGEL Linux 5, da die Linux-Kernel-Entwickler keine Maßnahmen gegen Meltdown in die 32-Bit-Version des Kernels integriert haben. Dies betrifft IGEL Linux 5 und alle anderen 32-Bit-Linux-Systeme auf dem Markt. Momentan gibt es noch keine Lösung für Meltdown im 32-Bit-Mainline-Linux-Kernel, möglicherweise ist diese aber zu einem späteren Zeitpunkt verfügbar. IGEL wird diese integrieren, sobald sie verfügbar ist.

Hinweis: Die bereitgestellten Informationen entbinden Sie nicht von der Verpflichtung, Systemänderungen im Voraus zu testen. Neue Firmware muss immer im Voraus getestet werden.


Mitteilung vom 12. Januar:

Wie bereits gestern angekündigt, haben wir heute die ersten Fixes für die Sicherheitslücken Meltdown und Spectre (CVE-2017-5754, CVE-2017-5715, CVE-2017-5753) veröffentlicht. Wir empfehlen allen Kunden dringend, Ihre Geräte mit diesen Fixes zu aktualisieren.

Hinweis: Die bereitgestellten Informationen entbinden Sie nicht von der Verpflichtung, Systemänderungen im Voraus zu testen. Neue Firmware muss immer im Voraus getestet werden.

Folgende Fixes können unter localhost:9000/software-downloads/ ab sofort heruntergeladen werden:

  • Partial Update für WES7 und WES7+ mit Fixes für Meltdown und Spectre (CVE-2017-5754, CVE-2017-5715, CVE-2017-5753) und Maßnahmen für den Internet Explorer
  • Windows 10 IoT Enterprise Private Build 4.01.140 mit Fixes für Meltdown und Spectre (CVE-2017-5754, CVE-2017-5715, CVE-2017-5753) und Maßnahmen für den Internet Explorer
  • IGEL OS 10 Private Build 10.03.550 mit Fixes für Meltdown (CVE-2017-5754) und Spectre Version 2 (CVE-2017-5715), Firefox ESR 52.5 ist nicht betroffen
    • LX (für UD-LX-Geräte)
    • OS (für UDC3-konvertierte Geräte und UD Pocket)

Das IGEL OS 10 Private Build 10.03.550 wurde erfolgreich auf allen IGEL UD-LX Geräten getestet:

  • IZ2-RFX, IZ2-HDX, IZ2-HORIZON
  • IZ3-RFX, IZ3-HDX, IZ3-HORIZON
  • UD2-LX 40
  • UD3-LX 50, UD3-LX 42, UD3-LX 41, UD3-LX 40
  • UD5-LX 50, UD5-LX 40
  • UD6-LX 51
  • UD9-LX Touch 41, UD9-LX 40
  • UD10-LX Touch 10, UD10-LX 10

…sowie auf folgenden Geräten von Drittanbietern:

  • Acer Veriton N211OG
  • Advantech-DLoG DLT-V6210
  • Advantech-DLoG DLT-V7210 R
  • Dell Wyse D10DP
  • Dell Wyse D50D
  • Dell Wyse Z90Q7
  • Lenovo Tiny M600
  • Fujitsu Futro X913
  • Fujitsu Futro X923
  • Lenovo M600
  • Toshiba Portege X20W-D-11N

Informationen zu IGEL Linux 5
Derzeit gibt es keine Lösung für IGEL Linux 5, da die Linux-Kernel-Entwickler keine Maßnahmen gegen Meltdown in die 32-Bit-Version des Kernels integriert haben. Dies betrifft IGEL Linux 5 und alle anderen 32-Bit-Linux-Systeme auf dem Markt. Momentan gibt es noch keine Lösung für Meltdown im 32-Bit-Mainline-Linux-Kernel, möglicherweise ist diese aber zu einem späteren Zeitpunkt verfügbar. In der Zwischenzeit kann der Schutz vor Sicherheitslücken über Microcode-Updates von den Prozessorherstellern bereitgestellt werden. IGEL wird diese integrieren, sobald sie verfügbar sind.

Der Mozilla Firefox-Webbrowser in IGEL Linux 5 ist jedoch nicht anfällig für den JavaScript-Angriff im Proof-of-Concept, da er nicht über die erforderlichen hochauflösenden Timer verfügt. Abgesehen davon ist das Entfernen des lokalen Browsers immer eine Maßnahme, die die Gerätesicherheit verbessert, da sie häufig für Remoteangriffe verwendet werden. Wie das Entfernen funktioniert, erfahren Sie hier: http://edocs.igel.com/index.htm#13934.htm. Der Appliance-Modus begrenzt außerdem die Teile des Systems, auf die Benutzer zugreifen können, wodurch die Angriffsfläche weiter reduziert wird: http://edocs.igel.com/index.htm#13944.htm.