DFN-CERT-2015-0256 Linux-Kernel: Zwei Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe [Linux]

DFN-CERT-2015-0256 Linux-Kernel: Zwei Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Linux Kernel

Betroffene Plattformen:

Canonical Ubuntu Linux 10.04 Lts

Durch Ausnutzen dieser Schwachstellen kann ein lokaler, nicht
authentisierter Angreifer einen Denial-of-Service-Angriff durchführen oder
sensible Informationen ausspähen. Für Ubuntu 10.04 LTS werden
Sicherheitsupdates für den Linux-Kernel sowie Linux-Kernel für EC2 zur
Verfügung gestellt.

Patch:

Ubuntu Security Notice USN-2511-1

http://www.ubuntu.com/usn/usn-2511-1/

Patch:

Ubuntu Security Notice USN-2512-1 (EC2)

http://www.ubuntu.com/usn/usn-2512-1/

CVE-2014-9584: Schwachstelle im Linux-Kernel ermöglicht das Ausspähen von
Informationen

Die “parse_rock_ridge_inode_internal”-Funktion in fs/isofs/rock.c des
Linux-Kernels überprüft den Längenwert in dem Extensions Reference (ER)
System Use Field nicht, was es lokalen Benutzern ermöglicht, sensitive
Informationen aus dem Kernel-Speicher mittels eines präparierten
iso9660-Abbilds auszulesen. Ein lokaler, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um Informationen auszuspähen.

CVE-2014-9529: Schwachstelle im Linux-Kernel erlaubt Denial-of-Service

Eine Race Condition besteht in der Funktion “key_gc_unused_keys” in
security/keys/gc.c im Linux-Kernel bis Version 3.18.2. Ein lokaler, nicht
authentifizierter Benutzer, als Angreifer, kann die Schwachstelle ausnutzen,
mittels “keyctl”-Kommandos, welche den Zugriff auf
Schlüsselstrukturmitglieder während der Abfallbeseitigung (“garbage
collection”) eines Schlüssels erlauben, um einen Denial-of-Service-Zustand
(Speicherkorruption oder Kernelpanik) herbeizuführen oder möglicherweise
weitere, nicht spezifizierte Angriffe durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0256/

Schwachstelle CVE-2014-9529 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9529

Schwachstelle CVE-2014-9584 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9584

Ubuntu Security Notice USN-2511-1:
http://www.ubuntu.com/usn/usn-2511-1/

Ubuntu Security Notice USN-2512-1 (EC2):
http://www.ubuntu.com/usn/usn-2512-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben