2017-1951: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten

Historie:

Version 1 (2017-11-03 12:00): Neues Advisory
Version 2 (2017-11-07 17:39): Für Oracle VM 3.3 (x86_64) steht ein Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung. Die Schwachstelle CVE-2017-7308 wurde bereits in einem früheren Sicherheitsupdate behoben. Die Schwachstelle CVE-2017-9074 wird in diesem Update nicht erwähnt, dafür aber zusätzlich die Denial-of-Service-Schwachstelle CVE-2017-2671.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle im Linux-Kernel ausnutzen, um Administratorrechte zu erlangen. Mehrere weitere Schwachstellen ermöglichen dem Angreifer die Eskalation von Privilegien, die Durchführung von Denial-of-Service (DoS)-Angriffen und möglicherweise weitere Angriffe. Ein lokaler, einfach authentisierter Angreifer kann darüber hinaus ebenfalls seine Privilegien eskalieren, sensitive Informationen ausspähen und beliebigen Programmcode zur Ausführung bringen.

Oracle veröffentlicht ein Sicherheitsupdate für den Unbreakable Enterprise Kernel zur Behebung der Schwachstellen in Oracle Linux 5 (i386, x86_64) und 6 (i386, x86_64). Dieses Sicherheitsupdate ist für die Kernelversion 2.6.39 relevant. Für andere Kernelversionen stehen weitere Sicherheitsupdates zur Verfügung, über die gesondert informiert wird.

Schwachstellen:

CVE-2016-10044

Schwachstelle in Kernel File System ermöglicht Privilegieneskalation

CVE-2017-1000363

Schwachstelle in Linux-Kernel ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-1000380

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-10661

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation