DFN-CERT

Advisory-Archiv

2019-0701: Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. eine Privilegieneskalation

Historie:

Version 1 (2019-04-09 12:45)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann mehrere Schwachstellen im Linux-Kernel ausnutzen, um einen kompletten Denial-of-Service (DoS)-Zustand zu bewirken oder weitere nicht spezifizierte Auswirkungen über konkurrierende Threads herbeiführen. Zwei weitere Schwachstellen ermöglichen einem einfach authentifizierten Angreifer im benachbarten Netzwerk die Gast-VM oder den Host-Kernel zum Absturz zu bringen (Denial-of-Service, DoS) und möglicherweise privilegierten Zugriff auf ein betroffenes System zu erhalten. Eine weitere Schwachstelle ermöglicht diesem Angreifer über das Page-Fault-Ausnahmefehler-Objekt Informationen aus dem Stack-Speicher des Hostsystems auszuspähen. Ein nicht authentisierter Angreifer, der sich physisch in üblicher Reichweite der Bluetooth-Übertragung befindet, kann zwei Schwachstellen durch Senden speziell präparierter Pakete ausnutzen, um über die Antworten auf diese Pakete jeweils einen Teil des Speicherlayouts des Heaps auszuspähen. Diese Informationen können für weitere Angriffe verwendet werden.

Für SUSE Linux Enterprise Server 12 SP3 steht ein Sicherheitsupdate für den SUSE Linux Enterprise 12 SP3 Azure Kernel auf Version 4.4.176 bereit, welches die acht Schwachstellen und 102 weitere nicht sicherheitsrelevante Fehler adressiert.

Schwachstellen:

CVE-2017-18249

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-2024

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2019-3459

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2019-3460

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2019-6974

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-7221

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-7222

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2019-9213

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.