Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Linux-Kernel

Betroffene Plattformen:

Oracle Linux 6
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Workstation 6

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell
präparierter Datenpakete eine Endlosschleife im Linux-Kernel erzeugen und so
einen Denial-of-Service-Zustand bewirken.

Red Hat stellt für den Kernel der Red Hat Enterprise Linux Produkte Desktop,
HPC Node, Server und Workstation in Version 6 ein Sicherheitsupdate zur
Verfügung. Für Oracle Linux 6 (i386, x86_64) steht dieses Update ebenfalls
bereit, um die Schwachstelle zu schließen.

Patch:

Oracle Linux Security Advisory ELSA-2017-1372

https://linux.oracle.com/errata/ELSA-2017-1372.html

Patch:

Red Hat Security Advisory RHSA-2017:1372-1

http://rhn.redhat.com/errata/RHSA-2017-1372.html

CVE-2017-6214: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘tcp_splice_read’ im Linux-Kernel besteht eine
Schwachstelle, die es ermöglicht im Zusammenhang mit TCP-Paketen, bei denen
das URG-Flag (Urgent) gesetzt ist, eine Endlosschleife auszulösen und damit
einen Denial-of-Service-Zustand zu bewirken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0943/

Schwachstelle CVE-2017-6214 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6214

Oracle Linux Security Advisory ELSA-2017-1372:
https://linux.oracle.com/errata/ELSA-2017-1372.html

Red Hat Security Advisory RHSA-2017:1372-1:
http://rhn.redhat.com/errata/RHSA-2017-1372.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.