DFN-CERT

Advisory-Archiv

2017-1616: Linux-Kernel: Eine Schwachstelle ermöglicht die Übernahme eines Systems

Historie:

Version 1 (2017-09-13 16:23)
Neues Advisory
Version 2 (2017-09-13 20:23)
Red Hat stellt für Red Hat Enterprise Linux for Real Time 7, Red Hat Enterprise MRG 2, verschiedene Varianten von Red Hat Enterprise Linux 7.2 Extended Update Support sowie Red Hat Enterprise Linux 6.5 Advanced Update Support und Red Hat Enterprise Linux 6.5 Telco Extended Update Support Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 3 (2017-09-14 18:09)
SUSE stellt für SUSE OpenStack Cloud 6, SUSE Linux Enterprise Server for SAP 12 SP1 und Server 12 SP1 LTSS sowie SUSE Linux Enterprise Module for Public Cloud 12 Sicherheitsupdates für den SUSE Linux Enterprise 12 SP1 Kernel bereit, um diese Schwachstelle zu adressieren.
Version 4 (2017-09-15 11:49)
Für Oracle Linux 7 steht ein Sicherheitsupdate für den Linux-Kernel jetzt auch über das Unbreakable Linux Network zur Verfügung. Red Hat veröffentlicht für Red Hat Enterprise Linux 6.2 Advanced Update Support ein Sicherheitsupdate, welches neben der hier aufgeführten Schwachstelle auch die Behebung der Schwachstelle CVE-2017-7895 umfasst. Diese kann von einem entfernten, einfach authentisierten Angreifer für das Ausspähen von Informationen ausgenutzt werden.
Version 5 (2017-09-15 12:56)
Red Hat hat für Red Hat Enterprise Linux 6.6 Advanced Update Support und Red Hat Enterprise Linux 6.6 Telco Extended Update Support ebenfalls ein Sicherheitsupdate veröffentlicht.
Version 6 (2017-09-19 11:51)
Für die SUSE Linux Enterprise 12 SP2 und 12 SP3 Produkte Workstation Extension, Software Development Kit, Server, High Availability und Desktop sowie Server for Raspberry Pi 12 SP2, Live Patching 12 und 12 SP3, SUSE Container as a Service Platform ALL und OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für den Linux-Kernel bereit.
Version 7 (2017-09-20 14:29)
Für Oracle Linux 6 (x86_64) und 7 (x86_64) stehen weitere Sicherheitsupdates für den 'Unbreakable Enterprise Kernel' bereit.
Version 8 (2017-09-21 12:29)
Für SUSE Linux Enterprise Server 12 LTSS und SUSE Linux Enterprise Module for Public Cloud 12 stehen Sicherheitsupdates zur Behebung dieser Schwachstelle bereit.
Version 9 (2017-09-22 15:48)
Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4, Server 11 EXTRA und Debuginfo 11 SP4 stehen Sicherheitsupdates für den Linux-Kernel bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle
Virtualisierung

Beschreibung:

Ein Angreifer, der sich in einer Reichweite befindet, um eine Bluetooth-Übertragung aufbauen zu können, kann die Schwachstelle auf Systemen mit aktivierter 'Stack Protection' (CONFIG_CC_STACKPROTECTOR=y) ausnutzen, um einen Denial-of-Service-Angriff durchzuführen. Auf Systemen ohne 'Stack Protection' kann die Schwachstelle ausgenutzt werden, um beliebigen Programmcode mit Root-Privilegien zur Ausführung zu bringen. Aufgrund der Beschaffenheit der 'Stack Protection'-Schutzvorkehrung kann die Ausführung beliebigen Programmcodes auch bei aktivierter Schutzvorkehrung nicht vollständig ausgeschlossen werden, ein erfolgreicher, derartiger Angriff ist aber unwahrscheinlich.

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Server, Desktop, Workstation und Scientific Computing sowie Server for ARM 7, Compute Node Extended Update Support (EUS) 6.7, 7.3 und 7.4, die Server Produktversionen Extended Update Support (EUS) 6.7, 7.3 und 7.4, Advanced Update Support (AUS) 6.4, 7.3 und 7.4 sowie Telco Update Support (TUS) 7.3 und 7.4 und Red Hat Virtualization Host 4 Sicherheitsupdates für den Linux-Kernel bereit.

Oracle stellt für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) Sicherheitsupdates in Form aktualisierter 'kernel'-Pakete zur Verfügung.

Schwachstellen:

CVE-2017-1000251

Schwachstelle in Linux-Kernel ermöglicht Übernahme eines Systems

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.