2018-1385: Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe

Historie:

Version 1 (2018-07-16 17:25): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen im Linux-Kernel ermöglichen einem zumeist lokalen, einfach authentifizierten Angreifer verschiedene Denial-of-Service (DoS)-Angriffe und das Ausspähen von Informationen. Zwei der Denial-of-Service-Angriffe können von einem nicht authentisierten Angreifer aus der Ferne ausgeführt werden. Das Ausspähen von Informationen durch zwei der Schwachstellen ist eventuell auch aus dem benachbarten Netzwerk möglich (Spectre v1 und v2).

Debian stellt für Debian Jessie (LTS) ein Sicherheitsupdate für den Kernel auf Version 3.16.57 zur Behebung der Schwachstellen zur Verfügung (DLA 1422-1). Die kurz darauf erfolgte zweite Veröffentlichung des Updates betrifft nur Systeme mit ARM EABI Hard-Float Architektur (DLA 1422-2).

Die Behebung der Schwachstelle CVE-2017-5715 erfordert zusätzliche Microcode-Updates, die im Paket 'intel-microcode' enthalten sind. Das entsprechende Update für 'amd64-microcode' steht hier noch aus. Für andere Prozessoren sind BIOS- oder UEFI-Updates notwendig. Die Schwachstelle CVE-2018-3665 wird mitigiert, indem 'lazy FPU' für x86-Prozessoren standardmäßig deaktiviert wird.

Schwachstellen:

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5753

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen