Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Linux Kernel <= 3.15.3 Betroffene Plattformen: Red Hat Fedora 20 Die Schwachstellen im Linux-Kernel können von einem nicht authentifizierten Angreifer lokal ausgenutzt werden, um seine Privilegien zu erweitern oder lokal und entfernt, um Denial-of-Service-Angriffe durchzuführen. Patch: Fedora Update FEDORA-2014-8171 https://admin.fedoraproject.org/updates/FEDORA-2014-8171/kernel-3.15.4-200.fc20
CVE-2014-4715: Denial-of-Service-Schwachstelle in Yann Collet LZ4
(Linux-Kernel)
Yann Collet LZ4 vor Version r119, genutzt auf 32-Bit Plattformen , die
Speicher jenseits von 0x80000000 allokieren, bemerkt Integer-Überläufe nicht
zuverlässig. Ein entfernter, nicht authentifizierter Angreifer kann
kontextabhängig Denial-of-Service-Angriffe durchführen oder eventuell
anderen Einfluss auf das System nehmen.
CVE-2014-4699: Schwachstelle im Linux-Kernel
“process trace” ist ein Systemaufruf, der zur Kontrolle oder Diagnose
anderer Prozesse in der Softwareentwicklung eingesetzt wird. Auf 64Bit
Systemen kann infolge einer fehlenden Überprüfung des Befehlszählers durch
“process trace” durch einen nicht privilegierten, lokalen Angreifer der
Linux-Kernel in einen instabilen Zustand gebracht werden. Die Schwachstelle
kann zu einem Denial-of-Service-Angriff oder zur Erlangungen weiterer
Privilegien ausgenutzt werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0881/
Schwachstelle CVE-2014-4699 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4699
Schwachstelle CVE-2014-4715 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4715
Fedora Update FEDORA-2014-8171:
https://admin.fedoraproject.org/updates/FEDORA-2014-8171/kernel-3.15.4-200.fc20
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
