2018-2560: Linux-Kernel: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe und möglicherweise eine Privilegieneskalation

Historie:

Version 1 (2018-12-17 15:06)

Neues Advisory

Version 2 (2018-12-18 11:12)

SUSE stellt weitere Live Patch Sicherheitsupdates bereit. Zwei dieser Sicherheitsupdates für SUSE Linux Enterprise Server 12 SP1 LTSS (SUSE-SU-2018:4153-1, SUSE-SU-2018:4157-1) beheben zusätzlich zu der bereits referenzierten Schwachstelle die CVE-2018-9568 (zu dieser Meldung hinzugefügt). Die Schwachstelle kann ein entfernter, nicht authentisierter Angreifer ausnutzen, um einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere Angriffe durchzuführen. Mittels der Sicherheitsupdates SUSE-SU-2018:4154-1 und SUSE-SU-2018:4158-1 wird genau diese Schwachstelle für SUSE Linux Enterprise Server 12 SP1 LTSS behoben.

Version 3 (2018-12-20 12:04)

Für SUSE Linux Enterprise Server 12 LTSS stehen weitere Live Patch-Sicherheitsupdates zur Behebung beider Schwachstellen (Live Patch 30 for SLE 12, Kernel 3.12.61-52_111) oder nur der schwerwiegenderen Schwachstelle (Live Patch 37 for SLE 12, 3.12.61-52_141) zur Verfügung.

Version 4 (2018-12-21 11:04)

Für SUSE Linux Enterprise Live Patching 12 SP3 steht ein Sicherheitsupdate für den Linux-Kernel 4.4.132-94_33 zur Behebung der Schwachstelle CVE-2018-5848 bereit.

Version 5 (2018-12-27 11:25)

Für SUSE Linux Enterprise Module for Live Patching 15 steht ein Sicherheitsupdate für den Linux-Kernel 4.12.14-23 zur Verfügung, welches beide referenzierten Schwachstellen adressiert.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle (CVE-2018-5848) im Linux-Kernel ausnutzen, um durch Auslösen eines Ganzzahlüberlaufs (Integer Overflow) einen Pufferüberlauf (Buffer Overflow) zu bewirken. Dadurch kann er einen Denial-of-Service (DoS)-Zustand herbeiführen und möglicherweise seine Privilegien eskalieren. Eine weitere Schwachstelle (CVE-2018-9568) kann ein entfernter, nicht authentisierter Angreifer ausnutzen, um einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere Angriffe durchzuführen.

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP2 und Server 12 SP2 LTSS stehen Sicherheitsupdates in Form von Live Patches für den Linux-Kernel 4.4.103-92_56 zur Behebung der Schwachstelle CVE-2018-5848 bereit.

Schwachstellen:

CVE-2018-5848

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2018-9568

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.