2017-1787: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-10-11 15:56)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im Linux-Kernel (CVE-2016-8633) ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen. Ein einfach authentisierter Angreifer im benachbarten Netzwerk kann eine weitere Schwachstelle (CVE-2017-12134) ausnutzen, um Informationen auszuspähen, einen Denial-of-Service (DoS)-Angriff durchzuführen oder Privilegien zu eskalieren. Ein lokaler, nicht authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff durchführen (CVE-2017-14106) oder Informationen ausspähen (CVE-2017-14140) und ein lokaler, einfach authentisierter Angreifer kann ebenfalls einen Denial-of-Service (DoS)-Zustand herbeizuführen oder die Integrität des Kernels beeinträchtigen (CVE-2017-1000255).

Canonical adressiert die Schwachstellen CVE-2017-1000255 und CVE-2017-14106 mit den Sicherheitsupdates USN-3443-1, USN-3443-2 und USN-3443-3 für den Ubuntu 17.04 Linux-Kernel und Linux-Kernel für Raspberry Pi 2 sowie den Ubuntu 16.04 LTS Linux Hardware Enablement (HWE) Kernel und Ubuntu 16.04 LTS Linux-Kernel für Google Cloud Platform (GCP) Systeme (letzterer ist nur von CVE-2017-14106 betroffen).

Die Schwachstellen CVE-2017-12134, CVE-2017-14106 und CVE-2017-14140 werden mit USN-3444-1 für den Ubuntu 16.04 LTS Linux-Kernel, Linux-Kernel für Amazon Web Services (AWS) Systeme, Linux-Kernel für Google Container Engine (GKE) Systeme, Linux-Kernel für Cloud-Umgebungen, Linux-Kernel für Raspberry Pi 2 und Snapdragon Prozessoren bzw. mit USN-3444-2 für den Ubuntu 14.04 LTS Linux Hardware Enablement Kernel from Xenial for Trusty behoben.

Mit USN-3445-1 und USN-3445-2 werden neben CVE-2017-14106 auch die Schwachstelle CVE-2016-8633 für den Linux-Kernel in Ubuntu 14.04 LTS und den Ubuntu 12.04 LTS Linux Hardware Enablement Kernel from Trusty for Precise ESM adressiert.

Schwachstellen:

CVE-2016-8633

Schwachstelle in Linux-Kernel ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-1000255

Schwachstelle in Linux-Kernel ermöglicht u.a. Denial-of-Service-Angriff

CVE-2017-12134

Schwachstelle in Xen ermöglicht u.a. Privilegieneskalation

CVE-2017-14106

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-14140

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.