2018-0178: Linux-Kernel: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-01-25 12:31)

Neues Advisory

Version 2 (2018-02-02 11:12)

Für Fedora 26 und 27 stehen neue Sicherheitsupdates in Form der Pakete 'kernel-4.14.16-200.fc26' bzw. 'kernel-4.14.16-300.fc27' im Status 'testing' bereit, um die Schwachstelle zu beheben. Die zuvor veröffentlichten Sicherheitsupdates FEDORA-2018-0b4c4e1fed (Fedora 27, kernel-4.14.15-300.fc27) und FEDORA-2018-7a461886fb (Fedora 26, kernel-4.14.15-200.fc26) wurden durch die neuen Pakete ersetzt und befinden sich daher jetzt im Status 'obsolete'. Die entsprechenden Referenzen wurden aus dieser Meldung entfernt. Die neuen Kernel-Updates machen eine Änderung im Kontext von 'Retpoline' (Spectre v2, CVE-2017-5715) rückgängig. Zusätzlich wird die Schwachstelle CVE-2018-5750 behoben, die aufgrund des Offenlegens von Kernel-Adressen möglicherweise einem lokalen, einfach authentisierten Angreifer das Umgehen der Schutzmaßnahme Kernel Address Space Layout Randomization (KASLR) erlaubt. KASLR ist die Basis für die Kernel Page-Table Isolation (KPTI), die Schutz gegen Meltdown bieten soll.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in der Advanced Linux Sound Architecture (ALSA) ausnutzen, indem er verschiedene Systemaufrufe kombiniert und dadurch einen nicht auflösbaren kritischen Wettlauf erzeugt, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für Fedora 26 und 27 stehen Sicherheitsupdates für den Linux-Kernel auf Version 4.14.15 zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2018-1000004

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-5750

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.