2023-2136: Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2023-09-13 13:22): Neues Advisory
Version 2 (2023-09-15 17:31): Für Oracle Linux 9 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates bereit, um die Schwachstellen zu beheben.
Version 3 (2023-10-06 16:43): Oracle stellt korrespondierend zu ELSA-2023-5069 Ksplice Updates für den 'Red Hat Compatible Kernel' (RHCK 9) zur Verfügung, um die Schwachstellen zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Denial-of-Service (DoS)-Angriffe durchzuführen und Privilegien zu eskalieren.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich, einzelne Schwachstellen erfordern 'CAP_NET_ADMIN' Zugangsprivilegien.

Red Hat stellt für Red Hat Enterprise Linux und CodeReady Linux Builder 9 (aarch64, x86_64), Red Hat Enterprise Linux und CodeReady Linux Builder Extended Update Support 9.2 (aarch64, x86_64), Red Hat Enterprise Linux Server AUS 9.2 (x86_64) sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.2 (aarch64) Sicherheitsupdates zur Behebung der Schwachstellen im Kernel zur Verfügung. Für Red Hat Enterprise Linux for Real Time 9 (x86_64) stehen Sicherheitsupdates für den Echtzeitkernel 'kernel-rt' bereit. Darüber hinaus können die Schwachstellen mit Ausnahme von CVE-2023-1637, CVE-2023-20593 und CVE-2023-21102 auch über das Live-Patch-Modul 'kpatch-patch' adressiert werden.

Schwachstellen:

CVE-2023-1637

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2023-20593

Schwachstelle in AMD-Prozessoren ermöglicht Ausspähen von Informationen