2017-1308: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten
Historie:
- Version 1 (2017-07-28 14:12)
- Neues Advisory
- Version 2 (2017-07-31 13:55)
- Korrespondierenden zu dem Sicherheitsupdate ELSA-2017-3596 steht jetzt das Sicherheitsupdate OVMSA-2017-0127 für Oracle VM 3.3 (x86_64) bereit, um die Schwachstelle CVE-2016-7097 für den UEK 3.8.13 zu beheben. Und analog zu dem Sicherheitsupdate ELSA-2017-3595 werden die Schwachstellen für den UEK 4.1.12 über das Sicherheitsupdate OVMSA-2017-0126 für Oracle VM 3.4 (x86_64) behoben.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Oracle informiert in mehreren Sicherheitshinweisen über Schwachstellen in verschiedenen Versionen des Unbreakable Enterprise Kernels (UEK).
Der Großteil der Schwachstellen betrifft den UEK 4.1.12 (ELSA-2017-3595). Ein lokaler, nicht authentisierter Angreifer kann zwei dieser Schwachstellen ausnutzen, um Administratorrechte zu erlangen und seine Privilegien zu eskalieren und eine weitere, um einen Denial-of-Service-Zustand zu erzeugen. Mehrere weitere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer ebenfalls die Durchführung verschiedener Denial-of-Service-Angriffe und nach einfacher Anmeldung mit Zugriff auf ein NFS-Gerät auch das Ausspähen von Informationen. Ein lokaler, einfach authentisierter Angreifer kann mehrere Schwachstellen ausnutzen, um Denial-of-Service-Angriffe durch- und beliebigen Programmcode auszuführen.
Die Schwachstellen CVE-2014-9710, CVE-2015-1465, CVE-2015-2686, CVE-2015-4167 und CVE-2017-7273 betreffen den UEK 2.6.39 (ELSA-2017-3597). Ein entfernter, nicht authentisierter Angreifer kann zwei dieser Schwachstellen im Linux-Kernel ausnutzen, um beliebigen Programmcode aus- und einen Denial-of-Service-Angriff durchzuführen. Mehrere weitere Schwachstellen ermöglichen einem lokalen, zumeist nicht authentisierten Angreifer die Eskalation seiner Privilegien und weitere Denial-of-Service-Angriffe.
Eine weitere Schwachstelle betrifft den UEK 3.8.13 (CVE-2016-7097, ELSA-2017-3596). Ein lokaler, nicht authentifizierter Angreifer kann diese mit Hilfe einer speziell präparierten Anwendung ausnutzen, um seine Privilegien zu eskalieren und Gruppenberechtigungen zu erhalten.
Oracle stellt für Oracle Linux 6 und 7 (x86_64) Sicherheitsupdates für den Unbreakable Enterprise Kernel 4.1.12, für Oracle Linux 6 und 7 (x86_64) Sicherheitsupdates für den Unbreakable Enterprise Kernel 3.8.13 und für Oracle Linux 6 (i386 und x86_64) Sicherheitsupdates für den Unbreakable Enterprise Kernel 2.6.39 bereit.
Schwachstellen:
CVE-2014-9710
Schwachstelle in Linux-Kernel ermöglicht eine PrivilegieneskalationCVE-2015-1465
Schwachstelle in Linux-Kernel erlaubt Denial-of-Service-AngriffCVE-2015-2686
Schwachstelle in Linux-Kernel ermöglicht das Ausführen beliebigen ProgrammcodesCVE-2015-4167
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2016-7097
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2017-1000363
Schwachstelle in Linux-Kernel ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-1000364
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2017-1000380
Schwachstelle in Linux-Kernel ermöglicht Ausspähen von InformationenCVE-2017-7273
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2017-7308
Schwachstelle in Linux-Kernel ermöglicht Erlangen von AdministratorrechtenCVE-2017-7477
Schwachstelle in Linux-Kernel ermöglicht u.a. Denial-of-Service-AngriffCVE-2017-7645
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2017-7895
Schwachstelle in Linux-Kernel ermöglicht nicht spezifizierte AngriffeCVE-2017-8890
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2017-9059
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2017-9077
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.