DFN-CERT-2017-0206 Linux-Kernel: Zwei Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe [Linux]

DFN-CERT-2017-0206 Linux-Kernel: Zwei Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Linux-Kernel

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS

Zwei Schwachstellen im Linux-Kernel ermöglichen einem entfernten wie auch
lokalen, nicht authentisierten Angreifer die Durchführung von
Denial-of-Service-Angriffen oder weiteren, nicht näher spezifizierten
Einfluss auf das System zu nehmen.

Canonical stellt für Ubuntu 14.04 LTS sowie für den Linux Hardware
Enablement Kernel 12.04 LTS (Trusty HWE) Sicherheitsupdates bereit und
adressiert damit die Schwachstelle CVE-2016-9555. Zudem steht ein
Sicherheitsupdate für Ubuntu 12.04 LTS bereit, welches zusätzlich die
Schwachstelle CVE-2016-9685 adressiert.

Patch:

Ubuntu Security Notice USN-3187-1

http://www.ubuntu.com/usn/usn-3187-1/

Patch:

Ubuntu Security Notice USN-3188-1

http://www.ubuntu.com/usn/usn-3188-1/

Patch:

Ubuntu Security Notice USN-3188-2 (Trusty HWE)

http://www.ubuntu.com/usn/usn-3188-2/

CVE-2016-9685: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Mehrere Speicherlecks in Fehlerpfaden innerhalb von ‘fs/xfs/xfs_attr_list.c’
im Linux-Kernel vor Version 4.5.1 ermöglichen einem lokalen, nicht
authentifizierten Angreifer die Ausführung eines Denial-of-Service
(DoS)-Angriffs durch Aufbrauchen verfügbarer Speicherressourcen mit Hilfe
speziell präparierter XFS-Dateisystemoperationen.

CVE-2016-9555: Schwachstelle in Linux-Kernel ermöglicht u.a.
Denial-of-Service-Angriff

Die Funktion ‘sctp_sf_ootb’ in ‘net/sctp/sm_statefuns.c’ im Linux-Kernel vor
Version 4.8.8 prüft die Länge des ersten Chunks einer Datenübertragung
nicht, wodurch es zu einem Slab-Speicherzugriff außerhalb der zulässigen
Begrenzungen kommen kann (Out-of-bounds Slab Access). Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle mit Hilfe speziell
präparierter SCTP-Daten ausnutzen, um einen Denial-of-Service (DoS)-Zustand
herbeizuführen oder weiteren, nicht näher spezifizierten Einfluss auf das
System zu nehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0206/

Schwachstelle CVE-2016-9555 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9555

Schwachstelle CVE-2016-9685 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9685

Ubuntu Security Notice USN-3187-1:
http://www.ubuntu.com/usn/usn-3187-1/

Ubuntu Security Notice USN-3188-1:
http://www.ubuntu.com/usn/usn-3188-1/

Ubuntu Security Notice USN-3188-2 (Trusty HWE):
http://www.ubuntu.com/usn/usn-3188-2/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben