2018-2294: Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe
Historie:
- Version 1 (2018-11-09 16:09)
- Neues Advisory
- Version 2 (2018-11-22 12:46)
- Die in ELSA-2018-4270 aufgeführten Schwachstellen können jetzt über Ksplice in Oracle Linux 7 behoben werden.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Mehrere Schwachstellen erlauben nicht authentisierten Angreifern, mittels präparierten Images, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe, indem fehlerhafte Speicherzugriffe ausgenutzt werden (Out-of-Bounds Access, Use-After-Free). Ein solcher Angreifer kann zudem aus einem benachbarten Netzwerk Informationen ausspähen.
Außerdem können verschiedene Schwachstellen von lokalen Angreifern ausgenutzt werden. Ein einfach authentisierter Angreifer kann durch Zugriff auf bereits freigegebenen Speicher (Use-After-Free) seine Privilegien eskalieren und einen Denial-of-Service-Angriff durchführen. Zudem kann durch Zugriff auf den Hypervisor-Steuerungsfluss eine komplette Kompromittierung des Systems erfolgen. Ein lokaler, nicht authentisierter Angreifer kann zudem Informationen ausspähen und seine Privilegien eskalieren.
Zur Behebung der Schwachstellen wird vom Hersteller für Oracle Linux 7 ein Sicherheitsupdate für den 'Unbreakable Enterprise Kernel' auf Version 4.14.35-1818.4.5 zur Verfügung gestellt.
Schwachstellen:
CVE-2017-13168
Schwachstelle in Kernel-Komponente ermöglicht PrivilegieneskalationCVE-2018-14610
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2018-14611
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2018-14734
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2018-15572
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen - SpectreRSBCVE-2018-17182
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2018-18021
Schwachstelle in Linux-Kernel ermöglicht komplette Kompromittierung
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.