2018-0024: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von sensiblen Informationen
Historie:
- Version 1 (2018-01-04 19:23)
- Neues Advisory
- Version 2 (2018-01-05 15:20)
- Für die Distributionen openSUSE Leap 42.3 und 42.2 stehen Sicherheitsupdates für den Linux-Kernel auf die Version 4.4.104 bereit, welche die hier aufgeführten Schwachstellen beheben. Zusätzlich werden mit den Sicherheitsupdates für openSUSE Leap 42.3 35 Korrekturen und für openSUSE Leap 42.2 19 Korrekturen umgesetzt.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Cloud
Linux
Beschreibung:
Zwei Schwachstellen in der Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren - auch bekannt unter dem Namen 'Spectre' - ermöglichen einem nicht authentisierten Angreifer im benachbarten Netzwerk das Ausspähen von sensiblen Informationen. Eine weitere Schwachstelle - bekannt unter dem Namen 'Meltdown' - ermöglicht es einem lokalen, nicht authentisierten Angreifer, Sicherheitsvorkehrungen zu umgehen. Zwei weitere Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer die Ausführung von Denial-of-Service (DoS)-Angriffen.
SUSE stellt für SUSE Container as a Service Platform ALL, OpenStack Cloud Magnum Orchestration 7 und die Produktvarianten SUSE Linux Enterprise Workstation Extension 12 SP und SP3, Software Development Kit 12 SP2 und SP3, Server 12 SP2 und SP3, Server for Raspberry Pi 12 SP2, Live Patching 12 und 12 SP3, High Availability 12 SP2 und SP3 sowie Desktop 12 SP2 und SP3 Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Es wird außerdem dringend empfohlen, für die von den Schwachstellen 'Spectre' und 'Meltdown' betroffenen Mikroprozessor-Hardware Firmwareupdates durchzuführen. Hierzu muss sich der Nutzer an den entsprechenden Hersteller der jeweiligen Hardware wenden.
Die Mitigation für CVE-2017-5715 kann Einfluss auf die Systemleistung haben und lässt sich daher über Kommandozeilenoptionen wieder deaktivieren. Die Mitigation für CVE-2017-5754 lässt sich ebenfalls deaktivieren.
Schwachstellen:
CVE-2017-17805
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2017-17806
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2017-5715
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2017-5753
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2017-5754
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.