DFN-CERT

Advisory-Archiv

2017-2223: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. die Eskalation von Privilegien

Historie:

Version 1 (2017-12-08 17:08)
Neues Advisory
Version 2 (2017-12-15 11:50)
Durch die Kernel-Updates USN-3509-1 und USN-3509-2 für Ubuntu 16.04 LTS (auch Amazon Web Services (AWS), Cloud Environments (KVM), Raspberry Pi 2) und Ubuntu 14.04 LTS (auch AWS, Hardware Enablement Kernel) wurde eine Regression eingeführt, die die Verwendung des Ceph-Netzwerkdateisystems verhinderte. Canonical stellt neue Sicherheitsdupdates zur Behebung dieser Regression zur Verfügung.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen im Linux-Kernel ermöglichen einem lokalen, zumeist nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen und die Eskalation von Privilegien. Die Schwachstelle CVE-2017-1000405 basiert dabei auf einem unvollständigen Fix für die bekannte Schwachstelle 'Dirty COW' (CVE-2016-5195).

Canonical stellt für die Distributionen Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 sowie für Ubuntu 12.04 LTS mit erweitertem Maintenance Support (EMS) Sicherheitsupdates für den Linux-Kernel zur Verfügung. Die einzelnen Updates beheben jeweils eine unterschiedliche Teilmenge der referenzierten Schwachstellen, wobei die Schwachstellen CVE-2017-1000405 und CVE-2017-16939 (jeweils Privilegieneskalation) in allen Sicherheitsupdates adressiert werden. Informationen zum aktuellen Status von Kernel-Schwachstellen in unterschiedlichen Ubuntu Linux Distributionen finden sich in der referenzierten Übersicht.

Die Sicherheitsupdates stehen auch für den Hardware Enablement Kernel in Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und 16.04 LTS, für Amazon Web Services (AWS), Azure, die Google Cloud Platform (GCP), Cloud Environments (KVM) und Snapdragon Prozessoren (jeweils Ubuntu 16.04 LTS, AWS auch Ubuntu 14.04 LTS) sowie für Raspberry Pi 2 (Ubuntu 16.04 LTS, Ubuntu 17.04 und Ubuntu 17.10) zur Verfügung.

Schwachstellen:

CVE-2017-1000405

Schwachstelle in Linux-Kernel ermöglicht u. a. Beeinträchtigung der Systemintegrität

CVE-2017-12146

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2017-12193

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-15299

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-15306

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-15951

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-16535

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-16643

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2017-16939

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.