2021-1896: Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-09-09 12:49): Neues Advisory
Version 2 (2021-09-17 09:50): Canonical stellt für Ubuntu 18.04 LTS ein Sicherheitsupdate für den Linux Hardware Enablement (HWE) Kernel (linux-hwe-5.4) zur Behebung der Schwachstellen bereit.
Version 3 (2021-09-22 09:53): Canonical stellt für Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für den Linux-Kernel für Raspberry Pi (V8) Systeme (linux-raspi, linux-raspi-5.4) zur Behebung der Schwachstellen CVE-2021-3612 und CVE-2021-22543 bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer, der in den meisten Fällen über niedrige Privilegien verfügen muss, kann mehrere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen, Privilegien zu eskalieren und zwei Denial-of-Service (DoS)-Angriffe durchzuführen. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Canonical stellt für Ubuntu 18.04 LTS und 20.04 LTS Sicherheitsupdates für den Linux-Kernel (linux) sowie die Linux-Kernel für Amazon Web Services (AWS) Systeme (linux-aws, linux-aws-5.4), Microsoft Azure Cloud Systeme (linux-azure, linux-azure-5.4), Cloud-Umgebungen (linux-kvm), Google Cloud Platform (GCP) Systeme (linux-gcp, linux-gcp-5.4), Google Container Engine (GKE) Systeme (linux-gke, linux-gke-5.4, linux-gkeop, linux-gkeop-5.4) und Oracle Cloud Systeme (linux-oracle, linux-oracle-5.4) zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2020-36311

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2021-22543

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2021-3612

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3653

Schwachstelle in Kernel-based Virtual Machine (KVM) ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-3656