2018-1748: Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2018-08-29 13:33)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein vermutlich nicht authentisierter Angreifer im benachbarten Netzwerk kann die unvollständige Mitigation der Schwachstelle CVE-2017-5715 (Spectre Variante 2) ausnutzen, um Kernel-Programmcode an einer von ihm selbst kontrollierten Speicheradresse zur Ausführung zu bringen und privilegierten Speicher unter Umgehung der Syscall-Grenzen zu lesen. Die ausgespähten Informationen können für weitere Angriffe verwendet werden. Zwei weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer die Eskalation seiner Privilegien bzw. die Durchführung eines Denial-of-Service (DoS)-Angriffs. Eine weitere Schwachstelle ermöglicht dem einfach authentisierten Angreifer, welcher vermutlich über eine aktive Bluetooth-Verbindung mit einem Benutzer gepaart sein muss, die Ausführung beliebigen Programmcodes.

Für die SUSE Linux Enterprise Produkte Module for Legacy Software, Module for Development Tools, Module for Basesystem, Module for Live Patching, Workstation Extension und High Availability jeweils in der Version 15 stehen Sicherheitsupdates für den Linux-Kernel bereit.

Schwachstellen:

CVE-2018-10853

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-10902

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2018-15572

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen - SpectreRSB

CVE-2018-9363

Schwachstelle in Linux-Kernel ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.