2022-1193: linux-firmware: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2022-05-25 18:43): Neues Advisory
Version 2 (2022-05-27 10:42): Für SUSE Linux Enterprise High Performance Computing 15 ESPOS und LTSS, SUSE Linux Enterprise Server 12 SP4 LTSS, 12 SP5 und 15 LTSS, SUSE Linux Enterprise Server for SAP 12 SP4 und 15 sowie SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen über 'kernel-firmware' Sicherheitsupdates bereit, mit denen die Schwachstellen adressiert werden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Denial-of-Service (DoS)-Angriffe und weitere, nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Für SUSE Linux Enterprise Desktop 15 SP3, SUSE Linux Enterprise High Performance Computing 15 SP3, SUSE Linux Enterprise Micro 5.1 und 5.2, SUSE Linux Enterprise Module for Basesystem 15 SP3, SUSE Linux Enterprise Server 15 SP3, SUSE Linux Enterprise Server for SAP Applications 15 SP3, SUSE Manager Proxy 4.2 und SUSE Manager Server 4.2 sowie für openSUSE Leap 15.3 stehen Sicherheitsupdates für 'kernel-firmware' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2021-26312

Schwachstelle in AMD EPYC Prozessoren ermöglicht Ausspähen von Informationen

CVE-2021-26339

Schwachstelle in AMD CPU ermöglicht Denial-of-Service-Angriff