2018-0066: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen

Historie:

Version 1 (2018-01-10 15:08)

Neues Advisory

Version 2 (2018-01-10 17:10)

Für Ubuntu 17.10 steht ein Sicherheitsupdate für den Linux-Kernel for Raspberry Pi 2 bereit, welches alle Schwachstellen bis auf CVE-2017-5754 (Meltdown) adressiert. Für Ubuntu 16.04 LTS stehen Sicherheitsupdates zur Verfügung, welche alle Schwachstellen adressieren, für die folgenden Linux-Kernel zur Verfügung: Microsoft Azure Cloud Systems, Google Cloud Platform (GCP), Hardware Enablement (HWE) Kernel sowie für OEM Prozessoren.

Version 3 (2018-01-10 17:59)

Mit USN-3522-1 wurde die als 'Meltdown' bekannte Schwachstelle CVE-2017-5754 für den Linux-Kernel in Ubuntu 16.04 LTS adressiert. Durch dieses Update wurde eine Regression eingeführt, durch die einige Systeme nicht mehr erfolgreich starten. USN-3522-3 behebt dieses Problem. Mit USN-3522-2 wurde dieselbe Schwachstelle im Linux Hardware Enablement (HWE) Kernel für Ubuntu 14.04 LTS adressiert, aber ebenfalls eine Regression eingeführt, die hier durch USN-3522-4 behoben wird.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Die Schwachstelle CVE-2017-5754 - bekannt unter dem Namen 'Meltdown' - ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen aus dem Kernelspeicher und darüber weitere Angriffe. Diese Schwachstelle betrifft Ubuntu Linux 17.10, Ubuntu Linux 16.04 LTS, Ubuntu Linux 14.04 LTS und Ubuntu 12.04 LTS (ESM). Weitere Schwachstellen, die nur für den Linux-Kernel in Ubuntu 17.10 aufgeführt werden, ermöglichen dem Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des Systems bzw. einem lokalen, einfach authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen und möglicherweise weiterer nicht spezifizierter Angriffe sowie ebenfalls das Ausspähen sensibler Adressinformationen.

Canonical stellt eine Reihe von Sicherheitsupdates für die Distributionen Ubuntu 17.10 (Linux-Kernel), Ubuntu 16.04 LTS (Linux-Kernel, Linux-Kernel for Amazon Web Services (AWS) Systems, Linux-Kernel for Intel Euclid Systems, Linux-Kernel for Cloud Environments), Ubuntu 14.04 LTS (Linux-Kernel, Linux-Kernel for Amazon Web Services (AWS) Systems, Linux Hardware Enablement Kernel from Xenial for Trusty) und Ubuntu 12.04 LTS (Linux-Kernel, Linux Hardware Enablement Kernel from Trusty for Precise ESM) zur Verfügung. Betroffene Systeme müssen nach Installation der Updates neu gestartet werden.

Ubuntu 17.04 wird seit Januar 2018 nicht mehr mit Sicherheitsupdates versorgt (End of Life, EOL) und hat daher noch keine Updates erhalten.

Schwachstellen:

CVE-2017-16995

Schwachstelle in Linux-Kernel ermöglicht u.a. Ausführen beliebigen Programmcodes

CVE-2017-17862

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-17863

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-17864

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-5754

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.