2024-1231: Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. eventuell das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-05-08 13:20): Neues Advisory
Version 2 (2024-05-14 13:35): Canonical stellt für Ubuntu 20.04 LTS ein Sicherheitsupdate für den Linux-Kernel für NVIDIA BlueField Plattformen (linux-bluefield) bereit, um die Schwachstellen zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann zwei Schwachstellen ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Canonical stellt für Ubuntu 20.04 LTS und Ubuntu 18.04 ESM Sicherheitsupdates für die Linux-Kernel für Amazon Web Services (AWS) Systeme (linux-aws, linux-aws-5.4), Google Cloud Platform (GCP) Systeme (linux-gcp-5.4), Google Container Engine (linux-gkeop), IBM-Cloud Systeme (linux-ibm, linux-ibm-5.4), IOT Systeme (linux-iot), Cloud-Umgebungen (linux-kvm), Oracle-Cloud Systeme (linux-oracle, linux-oracle-5.4), Raspberry Pi Systeme (linux-raspi, linux-raspi-5.4) und Xilinx ZynqMP Prozessoren (linux-xilinx-zynqmp) bereit, um die referenzierten Schwachstellen zu beheben.

Aufgrund der Umstrukturierung der CVE-Vergabe im Linux-Kernel, gibt es ein stark erhöhtes Aufkommen von Linux-Schwachstellen. Dies liegt daran, dass wesentlich mehr Patches als Schwachstellen registriert werden, und bedeutet nicht dass der Kernel tatsächlich angreifbarer wurde. In den Schwachstelleninformationen des DFN-CERT werden deshalb bei umfangreicheren Kernelupdates wie diesem nur noch Schwachstellen berücksichtigt, bei denen die Patch-Beschreibung eine erhöhte Sicherheitsrelevanz nahelegt. Insbesondere werden Programmfehler ohne klar erkennbare Sicherheitsrelevanz und lediglich lokal ausnutzbare Denial-of-Service (DoS)-Schwachstellen nicht mehr von uns beschrieben. Die Einträge bei NIST zu allen Schwachstellen finden Sie weiterhin als "Zusätzliche Information" in den Referenzen.