2024-1239: Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2024-05-08 13:27): Neues Advisory
Version 2 (2024-05-10 11:31): Für Oracle Linux 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'kernel' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um Informationen auszuspähen, Schlüsselmaterial auszuspähen und falsche Signaturen zu erstellen. Diese Marvin-Angriffe betreffen nur die PKCS #1 v1.5 Chiffren-Sammlung, von deren Verwendung ohnehin abgeraten wird. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Für Red Hat CodeReady Linux Builder 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux 9 (x86_64, aarch64), Red Hat Enterprise Linux - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64), Red Hat Enterprise Linux for Real Time 9 (x86_64) einschließlich der Variante für NFV, Red Hat Enterprise Linux for Real Time - 4 years of updates 9.4 (x86_64) einschließlich der Variante für NFV sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.4 (aarch64) stehen Sicherheitsupdates für 'kernel' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2023-6240

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausspähen von Informationen

CVE-2024-25742

Schwachstelle in Linux-Kernel und AMD Prozessoren ermöglicht Ausspähen von Informationen

CVE-2024-25743