2018-1677: Linux-Kernel: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe und das Ausspähen von Informationen

Historie:

Version 1 (2018-08-20 13:41): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Eine der beiden Schwachstellen ermöglicht zusätzlich möglicherweise eine Privilegieneskalation. Eine weitere Schwachstelle ermöglicht dem Angreifer das Umgehen von Sicherheitsvorkehrungen. Ein lokaler, einfach authentisierter Angreifer kann ebenfalls einen Denial-of-Service-Angriff durchführen. Die beiden unter dem Namen 'L1 Terminal Fault' (L1TF) bekannten Mikroprozessor-Schwachstellen CVE-2018-3620 und CVE-2018-3646, welche kürzlich von Intel veröffentlicht wurden, ermöglichen einem lokalen, nicht authentisierten Angreifer, in einem Fall allerdings mit Gastbetriebssystemrechten, das Ausspähen sensibler Informationen aus dem L1 Data Cache.

SUSE veröffentlicht für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1, Server 12 SP1 LTSS und Module for Public Cloud 12 Sicherheitsupdates für den Linux-Kernel zur Behebung dieser Schwachstellen und 10 weiterer Fehler.

Schwachstellen:

CVE-2018-13053

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-13405

Schwachstelle in Linux-Kernel ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-13406

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2018-14734