2018-0137: Linux-Kernel: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-01-22 11:44)

Neues Advisory

Version 2 (2018-01-22 15:27)

Für Oracle VM 3.4 stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in der Version 4.1.12-112.14.13.el6uek bereit, um die Schwachstelle CVE-2017-1000407 zu beheben und eine weitere Mitigation für die Schwachstelle CVE-2017-5753 in Form einer Speicherbarriere für 'vmcs field lookup' einzuführen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein vermutlich nicht authentisierter Angreifer im benachbarten Netzwerk kann die unter dem Namen 'Spectre' bekannte Schwachstelle CVE-2017-5753 ausnutzen, um spekulative Instruktionen seitens des Betriebssystems oder Hypervisors hinter Speicher- und Sicherheitsgrenzen zur Ausführung zu bringen und so auf privilegierten Speicher zuzugreifen. Ein nicht authentisierter Angreifer im benachbarten Netzwerk kann eine weitere Schwachstelle für einen Denial-of-Service (DoS)-Angriff ausnutzen (CVE-2017-1000407).

Für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für den Unbreakable Enterprise Kernel in der Version 4.1.12-112.14.13 bereit, um die Schwachstelle CVE-2017-1000407 zu beheben und eine weitere Mitigation für die Schwachstelle CVE-2017-5753 in Form einer Speicherbarriere für 'vmcs field lookup' einzuführen.

Schwachstellen:

CVE-2017-1000407

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2017-5753

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.