DFN-CERT

Advisory-Archiv

2019-1946: Linux-Kernel: Eine Schwachstelle ermöglicht eine Privilegieneskalation

Historie:

Version 1 (2019-09-18 17:14)
Neues Advisory
Version 2 (2019-09-20 14:36)
Red Hat veröffentlicht für Red Hat Enterprise Linux for Real Time 7 ein Sicherheitsupdate für 'kernel-rt', um die Schwachstelle zu beheben.
Version 3 (2019-09-20 16:36)
Red Hat veröffentlicht weitere Linux-Kernel Sicherheitsupdates, um die Schwachstelle zu beheben. Für Red Hat Enterprise Linux for Real Time 8 steht ein 'kernel-rt' Sicherheitsupdate bereit. Aktualisierte 'kernel'-Pakete werden für Red Hat Enterprise Linux 8 und Red Hat CodeReady Linux Builder 8 sowie die Red Hat Enterprise Linux 7 Produkte Server, Workstation, for Scientific Computing und Desktop, Server AUS, EUS und TUS 7.7, EUS Compute Node 7.7 sowie Red Hat Virtualization Host 4 veröffentlicht.
Version 4 (2019-09-23 12:49)
Red Hat veröffentlicht 'kpatch-patch'-Pakete für Red Hat Enterprise Linux Server 7, 7.7 AUS, 7.7 EUS und 7.7 TUS.
Version 5 (2019-09-23 13:03)
Für Oracle Linux 7 (x86_64) und für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für den Linux-Kernel in den Version '3.10.0-1062.1.2' und '4.18.0-80.11.2_0' zur Behebung der Schwachstelle zur Verfügung.
Version 6 (2019-09-23 16:35)
Red Hat veröffentlicht 'kernel-alt'-Pakete für Red Hat Enterprise Linux 7.
Version 7 (2019-09-23 19:01)
Red Hat veröffentlicht 'kpatch-patch'-Pakete für Red Hat Enterprise Linux Server 7.6 AUS, 7.6 EUS und 7.6 TUS.
Version 8 (2019-09-23 19:06)
Red Hat stellt Sicherheitsupdates für den Linux-Kernel für Red Hat Enterprise Linux Server 7.5 EUS und Red Hat Enterprise Linux Compute Node 7.5 EUS zur Verfügung.
Version 9 (2019-09-24 13:18)
Red Hat stellt Sicherheitsupdates für den Linux-Kernel für Red Hat Enterprise Linux Server 6, 6.6 AUS, 7.4 AUS, 7.4 TUS, 7.6 EUS, 7.6 AUS, 7.6 TUS, Red Hat Enterprise Linux Compute Node 7.6 EUS, Red Hat Virtualization Host 4.2 EUS for RHEL 7.6, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Desktop 6 und Red Hat Enterprise Linux for Scientific Computing 6 zur Verfügung.
Version 10 (2019-09-24 15:33)
Für Oracle Linux 6 (i386, x86_64) steht ein Sicherheitsupdate für den Linux-Kernel in der Version '2.6.32-754.23.1' zur Behebung der Schwachstelle zur Verfügung.
Version 11 (2019-09-25 14:58)
Red Hat stellt Sicherheitsupdates für Red Hat Virtualization 4 und Red Hat Virtualization Host 4 für Red Hat Enterprise Linux 7 zur Behebung der Schwachstelle zur Verfügung.
Version 12 (2019-09-25 19:32)
Red Hat stellt ein Sicherheitsupdate für den Linux-Kernel für Red Hat Enterprise Linux 6.5 AUS zur Verfügung.
Version 13 (2019-09-30 15:58)
Red Hat stellt Sicherheitsupdates für Red Hat Virtualization 4.2 EUS und Red Hat Virtualization Host 4.2 EUS für Red Hat Enterprise Linux 7.6 zur Behebung der Schwachstelle zur Verfügung.
Version 14 (2019-10-08 18:00)
Für SUSE Linux Enterprise Module for Live Patching 15 und 15 SP1 sowie SUSE Linux Enterprise Live Patching 12 SP4 stehen Sicherheitsupdates zur Behebung der Schwachstelle und eines weiteren nicht sicherheitsrelevanten Fehlers bereit.
Version 15 (2019-10-09 13:25)
Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1 und 12 SP2 sowie Server 12 SP1 LTSS und 12 SP2 LTSS stehen Live Patch Sicherheitsupdates für den Linux-Kernel auf Version 3.12.74-60_64_107 zur Behebung der Schwachstelle bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle
Virtualisierung

Beschreibung:

Ein privilegierten Gastnutzer als lokaler, einfach authentisierter Angreifer kann die Schwachstelle ausnutzen, indem er Deskriptoren mit ungültiger Länge an den Host weitergibt, wenn die Migration im Gange ist, um seine Privilegien auf dem Host zu eskalieren.

Für Fedora 29 stehen die Pakete 'kernel-5.2.15-100.fc29' und 'kernel-headers-5.2.15-100.fc29' und für Fedora 30 die Pakete 'kernel-5.2.15-200.fc30' und 'kernel-headers-5.2.15-200.fc30' im Status 'testing' bereit, womit der Linux-Kernel auf die stabile Version 5.2.15 aktualisiert und die Schwachstelle behoben wird.

Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für den Linux-Kernel in der Version 4.14.35-1902.5 zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2019-14835

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.