2019-0996: Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2019-05-16 15:58): Neues Advisory
Version 2 (2019-05-28 19:09): Oracle veröffentlicht Ksplice-Updates für den UEKR4 4.1.12 für Oracle Linux 6 und 7. In der zum Oracle Linux Security Advisory ELSA-2019-4642 korrespondierenden Meldung werden allerdings die Schwachstellen CVE-2017-7308, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2018-14634 und CVE-2019-11091 zusätzlich referenziert. Die zusätzlichen Schwachstellen, zu denen auch vier Schwachstellen in der Mikroarchitektur von Intel-Prozessoren (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und CVE-2019-11091) gehören, ermöglichen einem lokalen, zumeist einfach authentisierten Angreifer das Ausspähen von Informationen sowie die komplette Kompromittierung des Systems.
Version 3 (2019-05-31 12:36): Für Oracle VM 3.4 steht ein Sicherheitsupdate für den 'Unbreakable Enterprise Kernel' in der Version 4.1.12 zur Behebung der Schwachstellen bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann aufgrund mehrere Schwachstellen zwei verschiedene Denial-of-Service (DoS)-Angriffe durchführen und Informationen ausspähen. Zudem kann ein entfernter, einfach authentisierter Angreifer aufgrund einer Schwachstelle ebenfalls Informationen ausspähen.

Für Oracle Linux 6 und 7 stehen Sicherheitsupdates für den 'Unbreakable Enterprise Kernel' in der Version 4.1.12 zur Behebung der Schwachstellen bereit. Für Oracle Linux 6 steht zudem ein Sicherheitsupdate für den 'Unbreakable Enterprise Kernel' in der Version 2.6.39 bereit, welches nur die Schwachstellen CVE-2018-19985 und CVE-2019-11190 adressiert.

Schwachstellen:

CVE-2015-5327

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2017-18360

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2018-19985