2017-1057: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme

Historie:

Version 1 (2017-06-20 15:55): Neues Advisory
Version 2 (2017-06-22 11:32): Canonical stellt zwei neue Sicherheitsupdates für Ubuntu 12.04 bereit, das eigentlich keine Sicherheitsupdates mehr erhält. Zum einen werden die Schwachstellen CVE-2017-1000364 und CVE-2016-4997 (hier neu hinzugefügt) für Ubuntu 12.04 LTS behoben. Zum anderen wird das Update für CVE-2017-1000364 aus dem Linux Hardware Enablement Kernel von Trusty (Ubuntu 14.04) für Precise (Ubuntu 12.04) veröffentlicht. Dies betrifft die Version Ubuntu Linux 12.04 ESM (Extended Security Maintenance).
Version 3 (2017-06-29 15:22): Mit den Sicherheitsupdates USN-3324-1, USN-3326-1, USN-3328-1, USN-3334-1 (darauf aufbauend und somit ebenfalls betroffen USN-3344-1), USN-3335-1, USN-3335-2 (darauf aufbauend und somit ebenfalls betroffen USN-3343-1) und USN-3338-1 zur Behebung jeweils mehrerer Schwachstellen im Linux-Kernel wurde eine Regression für einige Java-Anwendungen eingeführt. Canonical veröffentlicht mit Ubuntu Security Notice USN-3338-2 (Ubuntu 12.04 LTS), USN-3342-1 (Ubuntu 16.10), USN-3343-1 (Ubuntu 14.04 LTS), USN-3343-2 (Ubuntu 12.04 ESM, Trusty HWE), USN-3344-1 (Ubuntu 16.04 LTS), USN-3344-2 (Ubuntu 14.04 LTS, Xenial HWE) und USN-3345-1 (Ubuntu 17.04) neue Sicherheitsupdates, um die Regression zu beheben.
Version 4 (2017-06-30 12:00): Mit dem Sicherheitsupdate USN-3333-1 wurde eine Regression für einige Java-Anwendungen eingeführt. Mit dem darauf aufbauenden USN-3342-1 wurden mehrere Schwachstellen im Linux Hardware Enablement (HWE) Kernel für Ubuntu 16.04 LTS behoben. Canonical hat mit Ubuntu Security Notice USN-3342-2 nun ein neues Sicherheitsupdate veröffentlicht, um die Regression zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen im Linux-Kernel ermöglichen einem zumeist lokalen, nicht authentisierten Angreifer die komplette Kompromittierung des Systems, die Ausführung beliebigen Programmcodes, verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen von Informationen.

Canonical veröffentlicht für die aktuell unterstützten Distributionen Ubuntu Linux 14.04 LTS, 16.04 LTS, 16.10 und 17.04 Sicherheitsupdates für den Linux-Kernel, durch die auch die jüngst im Kontext der 'Stack Clash'-Veröffentlichung bekannt gewordene Schwachstelle CVE-2017-1000364 behoben wird. Es stehen zusätzlich spezielle Sicherheitsupdates für Linux Hardware Enablement (HWE, Xenial HWE) Kernel, die Amazon Web Services, Google Container Engine, Qualcomm Snapdragon-Prozessoren und den Raspberry Pi 2 zur Verfügung. Betroffene Systeme müssen im Anschluss an das Sicherheitsupdate neu gestartet werden, damit die Änderungen aktiv werden.

Die einzelnen Sicherheitsupdates beheben verschiedene Teilmengen der referenzierten Schwachstellen. Eine Übersicht über den aktuellen Status von Kernelschwachstellen in Ubuntu Linux finden Sie als Referenz anbei. Die Schwachstellen CVE-2017-1000363, CVE-2017-1000364, CVE-2017-8890, CVE-2017-9074, CVE-2017-9075, CVE-2017-9076, CVE-2017-9077 und CVE-2017-9242 werden mit allen Updates behoben.

Schwachstellen:

CVE-2014-9940

Schwachstelle in Kernel Voltage Regulator Treiber ermöglicht Ausführen beliebigen Programmcodes

CVE-2016-4997

Schwachstelle in Linux-Kernel ermöglicht komplette Systemübernahme

CVE-2017-0605

Schwachstelle in Kernel Trace Subsystem ermöglicht komplette Systemübernahme

CVE-2017-1000363

Schwachstelle in Linux-Kernel ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-1000364

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation