DFN-CERT

Advisory-Archiv

2018-1446: NetBSD: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2018-07-23 17:48)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

UNIX

Beschreibung:

Mehrere Schwachstellen in NetBSD ermöglichen einem lokalen, einfach sowie nicht authentisierten Angreifer das Ausspähen von Informationen sowie möglicherweise die Eskalation von Privilegien oder einen Denial-of-Service (DoS)-Angriff.

Das NetBSD Project veröffentlicht NetBSD in der Version 8.0. Diese Version beinhaltet Sicherheitsupdates für die unter den Namen Meltdown, Spectre v2 und v4, PopSS sowie LazyFPU bekannten Schwachstellen für i386- und amd64-Prozessoren. Zusätzlich werden Memory Protect (MROTECT) und ASLR (Address Space Layout Randomization) standardmäßig auf verschiedenen CPUs aktiviert. Der Hersteller informiert darüber, dass ältere Versionen von NetBSD weiter unterstützt werden, die hier genannten CPU-relevanten Sicherheitsupdates und Workarounds werden jedoch nicht rückportiert. Benutzern älterer Versionen wird dringend empfohlen, auf NetBSD auf Version 8.0 zu aktualisieren.

NetBSD 8.0 wird unter anderem mit acpica 20170303, Clang/LLVM 3.8.1, dhcpcd 7.0.6, GCC 5.5, GDB 7.12, GNU binutils 2.27, Lua 5.3.4, mdocml 1.14.1, ntp 4.2.8p11-o, OpenSSH 7.6 und OpenSSL 1.0.2k ausgeliefert, wodurch eine Vielzahl weiterer Schwachstellen und Programmfehler behoben wird.

Schwachstellen:

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5754

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2018-3639

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2018-3665

Schwachstelle in Floating-Point-Unit (FPU) ermöglicht Ausspähen von Informationen

CVE-2018-8897

Schwachstelle in der Behandlung von Hardware Debug Ausnahmefehlern ermöglicht u. a. Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.