2019-0453: Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2019-03-05 14:21): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Zwei Schwachstellen im Linux-Kernel ermöglichen einem entfernten, nicht authentisierten Angreifer, in einem Fall über ein manipuliertes USB-Sound-Gerät, das ein Benutzer verwenden muss, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe sowie eventuell eine weitere, nicht näher spezifizierte Einflussnahme. Ein nicht authentisierter Angreifer in Reichweite einer Bluetooth-Verbindung kann weitere zwei Schwachstellen ausnutzen, um Informationen auszuspähen. Ein einfach authentisierter Angreifer im benachbarten Netzwerk kann mehrere Schwachstellen für das Ausspähen von Informationen, Denial-of-Service-Angriffe und eventuell eine Erweiterung seiner Privilegien ausnutzen. Das Ausspähen von Informationen und Bewirken von Denial-of-Service-Zuständen ist auch einem lokalen, nicht oder einfach authentisierten Angreifer über mehrere Schwachstellen möglich. Eine der Schwachstellen erlaubt eventuell zusätzlich beliebigen Programmcode zur Ausführung zu bringen.

Für die SUSE Linux Enterprise 12 SP3 Produktvarianten Workstation Extension, Software Development Kit, Server, Live Patching, High Availability und Desktop sowie SUSE Container-as-a-Service (CaaS) Platform 3.0 und ALL wird der Linux-Kernel auf die Version 4.4.175 aktualisiert. Mittels der Sicherheitsupdates werden die 14 referenzierten Schwachstelle und 148 weitere, nicht sicherheitsrelevante Fehler behoben.

Schwachstellen:

CVE-2018-1120

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff