DFN-CERT-2018-0167 Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][SuSE]

DFN-CERT-2018-0167 Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Linux-Kernel

Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Real Time Extension 11 SP4

Die Schwachstelle CVE-2017-5754 – bekannt unter dem Namen ‘Meltdown’ –
ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausspähen von
Informationen aus dem Kernelspeicher und dadurch auch die Ausführung
beliebigen Programmcodes mit den höchsten Privilegien. Die Schwachstellen
CVE-2017-5715 und CVE-2017-5753 – bekannt unter dem Namen ‘Spectre’ –
ermöglichen einem vermutlich nicht authentisierten, im benachbarten Netzwerk
befindlichen Angreifer das Ausspähen von Informationen und die Ausführung
von Programmcode in gewissen Grenzen. Eine Vielzahl weiterer Schwachstellen
ermöglicht einem zumeist lokalen und nicht authentisierten Angreifer die
Durchführung von Denial-of-Service (DoS)-Angriffen und die Eskalation der
Privilegien.

SUSE stellt für die Produkte SUSE Linux Enterprise Real Time Extension 11
SP4 und Debuginfo 11 SP4 Sicherheitsupdates für den Linux-Kernel zur
Behebung der Schwachstellen bereit. Zur Behebung der Schwachstelle
‘Meltdown’ muss neben dem Software-Update auch zusätzlich ein
Firmware-Update für die jeweils verwendete CPU installiert werden.

Patch:

SUSE Security Update SUSE-SU-2018:0180-1

http://lists.suse.com/pipermail/sle-security-updates/2018-January/003622.html

CVE-2017-13167: Schwachstelle in Kernel-Komponente ermöglicht
Privilegieneskalation

Eine nicht näher beschriebene Schwachstelle in der Kernel-Komponente Sound
Timer ermöglicht einem entfernten, nicht authentisierten Angreifer die
Durchführung einer Privilegieneskalation.

CVE-2017-5754: Schwachstelle in Implementierung der spekulativen
Instruktionsausführung für Mikroprozessoren ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die Implementierung für die leistungssteigernde Technik ‘speculative
Execution of Instructions’ für verschiedene Mikroprozessordesigns ist
fehlerhaft. Bei der ‘speculative Execution of Instructions’ werden Annahmen
über das Ergebnis einer anderen Operation getroffen und zur Ausführung der
Instruktion verwendet. Treffen die Annahmen zu, ist das Ergebnis eine
Beschleunigung der Verarbeitung. Treffen die Annahmen nicht zu, muss die
Instruktion zurückgesetzt werden. Der Fehler in der Implementierung besteht
darin, dass Seiteneffekte der Ausführung der Instruktion bestehen bleiben.
U.a. werden Änderungen am TLB (Translation Lookaside Buffer) nicht
zurückgesetzt.

Diese Schwachstelle deckt den Fall des ‘Rogue Data Cache Load’ ab, wird im
Kontext der Veröffentlichung ‘Meltdown’ genannt und betrifft Intel
Mikroprozessoren. AMD Mikroprozessoren scheinen aufgrund von
Architektur-Unterschieden nicht angreifbar zu sein. Die Schwachstelle liegt
darin begründet, dass für diese Prozessoren Pagetable-Berechtigungsprüfungen
nur ausgeführt werden, wenn die jeweilige Instruktion ‘retired’ wird, die
Ergebnisse einer Instruktion also dem Rest des Systems zur Verfügung
gestellt werden. Das ist für spekulative Instruktionen generell nicht der
Fall, da ein ‘retire’ erst erfolgen kann, wenn die für die Ausführung
gemachte Annahme bestätigt wurde.

Ein lokaler, nicht authentisierter Angreife kann diese Schwachstelle
ausnutzen, um Kernelspeicher vom Userspace aus zu lesen, ohne den
Kontrollfluss des Kernelcodes umzuleiten und dadurch beliebigen Programmcode
mit den höchsten Privilegien auszuführen.

CVE-2017-5753: Schwachstelle in Implementierung der spekulativen
Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von
Informationen

Die Implementierung für die leistungssteigernde Technik ‘speculative
Execution of Instructions’ für verschiedene Mikroprozessordesigns ist
fehlerhaft. Bei der ‘speculative Execution of Instructions’ werden Annahmen
über das Ergebnis einer anderen Operation getroffen und zur Ausführung der
Instruktion verwendet. Treffen die Annahmen zu, ist das Ergebnis eine
Beschleunigung der Verarbeitung. Treffen die Annahmen nicht zu, muss die
Instruktion zurückgesetzt werden. Der Fehler in der Implementierung besteht
darin, dass Seiteneffekte der Ausführung der Instruktion bestehen bleiben.
U.a. werden Änderungen am TLB (Translation Lookaside Buffer) nicht
zurückgesetzt.
Diese Schwachstelle deckt den Fall des ‘Bounds Check Bypass’ ab und wird im
Kontext der Veröffentlichung ‘Spectre’ genannt. Die Schwachstelle tritt auf,
wenn der Branch Predictor, der dem Prozessor die wahrscheinlichsten
zukünftigen Intruktionszweige zuspielt, manipuliert wird. Sie erfordert die
Existenz eines bestimmten Programmcodepatterns in der jeweiligen
Implementierung der spekulativen Instruktionsausführung oder die Generierung
eines entsprechenden Patterns über einen Interpreter oder eine
Just-in-Time-Engine. Ein vermutlich nicht authentisierter Angreifer im
benachbarten Netzwerk kann diese Schwachstelle ausnutzen, um spekulative
Instruktionen vom Betriebssystem oder Hypervisor hinter Speicher- und
Sicherheitsgrenzen zur Ausführung zu bringen und auf privilegierten Speicher
zuzugreifen.

CVE-2017-5715: Schwachstelle in Implementierung der spekulativen
Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von
Informationen

Die Implementierung für die leistungssteigernde Technik ‘speculative
Execution of Instructions’ für verschiedene Mikroprozessordesigns ist
fehlerhaft. Bei der ‘speculative Execution of Instructions’ werden Annahmen
über das Ergebnis einer anderen Operation getroffen und zur Ausführung der
Instruktion verwendet. Treffen die Annahmen zu, ist das Ergebnis eine
Beschleunigung der Verarbeitung. Treffen die Annahmen nicht zu, muss die
Instruktion zurückgesetzt werden. Der Fehler in der Implementierung besteht
darin, dass Seiteneffekte der Ausführung der Instruktion bestehen bleiben.
U.a. werden Änderungen am TLB (Translation Lookaside Buffer) nicht
zurückgesetzt.
Diese Schwachstelle deckt den Fall der ‘Branch Target Injection’ ab und wird
im Kontext der Veröffentlichung ‘Spectre’ genannt. Die Schwachstelle tritt
auf, wenn durch den betroffenen Programmcode ein indirekter Zweig (Branch)
vorliegt, dessen Zieladresse aus dem Speicher geladen wird. Durch Spülen
(flushing) der Cache-Zeile mit der entsprechenden Adresse aus dem Speicher
fehlt der CPU bei Erreichen des Zweigs das Sprungziel, so dass bis zur
notwendigen erneuten Berechnung der Adresse spekulativ Anweisungen
ausgeführt werden. Die dabei erfolgenden Speicherzugriffe allozieren auch
dann Speicher im Level 1 Data Cache des Mikroprozessors, wenn die
spekulativen Instruktionen später verworfen werden. Ein vermutlich nicht
authentisierter Angreifer im benachbarten Netzwerk kann diese Schwachstelle
ausnutzen, um Kernel-Programmcode an einer von ihm selbst kontrollierten
Speicheradresse zur Ausführung zu bringen und privilegierten Speicher unter
Umgehung der Syscall-Grenzen zu lesen. Die ausgespähten Informationen können
für weitere Angriffe verwendet werden.

CVE-2017-17806: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

In der HMAC-Implementierung in ‘crypto/hmac.c’ im Linux-Kernel vor Version
4.14.8 wird nicht geprüft, ob der zugrunde liegende Hash-Algorithmus ohne
Schlüsselmaterial aufgerufen wird. Ein lokaler, einfach authentisierter
Angreifer mit der Möglichkeit zur Benutzung der AF_ALG-basierten
Hash-Schnittstelle und des SHA-3 Hash-Algorithmus kann einen
Stack-Pufferüberlauf über eine Sequenz von Systemaufrufen, die zu einer
fehlenden SHA-3 Initialisierung führen, verursachen, wodurch es zum Absturz
des Kernels und damit einem vollständigen Denial-of-Service-Zustand kommt.

CVE-2017-17805: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

In der Implementierung des Salsa20 Verschlüsselungsalgorithmus im
Linux-Kernel vor Version 4.14.8 werden Eingaben mit Länge Null nicht korrekt
verarbeitet. Ein lokaler, einfach authentisierter Angreifer mit der
Möglichkeit zur Benutzung der AF_ALG-basierten ‘skcipher’-Schnittstelle kann
nicht initialisierten Speicher freigeben, wodurch es zum Absturz des Kernels
und damit einem vollständigen Denial-of-Service-Zustand kommt.
Möglicherweise kann der Angreifer auch noch weitere Angriffe über Sequenzen
von Systemaufrufen, die die ‘blkcipher_walk’-Schnittstelle benutzen,
tätigen.

CVE-2017-8824: Schwachstelle in Linux-Kernel ermöglicht Erlangen von
Administratorrechten

Der Linux Kernel bis einschließlich Version 4.14.3 enthält eine
Schwachstelle in der Funktion ‘dccp_disconnect’ der Komponente
‘net/dccp/proto.c’, welche die Verwendung von Speicher nach dessen Freigabe
(Use-after-Free) ermöglicht. Ein lokaler, einfach authentisierter Angreifer
kann im Zustand ‘DCCP_LISTEN’ über einen ‘AF_UNSPEC’-Systemaufruf seine
Privilegien erweitern oder einen Denial-of-Service (DoS)-Zustand
herbeiführen.

CVE-2017-17558: Schwachstelle in Linux-Kernel ermöglicht u.a.
Denial-of-Service-Angriff

Der Linux-Kernel bis einschließlich Version 4.14.5 enthält eine
Schwachstelle im USB-Subsystem in der Treiberkomponente
‘usb_destroy_configuration’ von ‘drivers/usb/core/config.c’. Ursache ist
hier ein fehlender Maximalwert für die Anzahl von Konfigurationen und
Schnittstellen vor einer Freigabe des dafür reservierten Speicherps. Ein
lokaler, nicht authentisierter Angreifer mit physischem Zugriff auf den
USB-Anschluss kann die Schwachstelle dazu ausnutzen, schreibend auf
Speicherbereiche außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds
Write Access) und so u.a. einen Denial-of-Service (DoS)-Zustand
herbeiführen.

CVE-2017-17450: Schwachstelle in Linux-Kernel ermöglicht Umgehen von
Sicherheitsvorkehrungen

Der Linux-Kernel bis einschließlich Version 4.14.4 enthält eine
Schwachstelle in der Netfilter-Komponente ‘net/netfilter/xt_osf.c’, die
durch eine fehlende Anwendung der Berechtigung ‘CAP_NET_ADMIN’ im Falle von
‘add_callback’- und ‘remove_callback’-Operationen hervorgerufen wird. Ein
lokaler, einfach authentisierter Angreifer kann die Schwachstelle ausnutzen,
um Sicherheitsvorkehrungen zu umgehen, weil die Datenstruktur
‘xt_osf_fingers’ über alle ‘net namespaces’ geteilt wird.

CVE-2017-15868: Schwachstelle in Kernel-Komponente ermöglicht
Privilegieneskalation

Die Funktion ‘bnep_add_connection’ innerhalb von ‘net/bluetooth/bnep/core.c’
im Linux-Kernel vor Version 3.19 prüft nicht, ob ‘lcap2’-Sockets verfügbar
sind. Ein lokaler, nicht authentisierter Angreifer kann das mit Hilfe einer
speziell präparierten Anwendung ausnutzen, um seine Privilegien zu
eskalieren.

CVE-2017-16939: Schwachstelle in Linux-Kernel ermöglicht
Privilegieneskalation

Durch den Zugriff auf bereits freigegebenen Speicher im XFRM-Framework des
Linux-Kernels kann ein lokaler, nicht authentisierter Angreifer seine
Privilegien eskalieren oder einen Denial-of-Service-Angriff ausführen. Der
Angriff kann über einen speziell präparierten ‘SO_RCVBUF setsockopt’
Systemaufruf in Verbindung mit ‘XFRM_MSG_GETPOLICY’ Netlink-Nachrichten
erfolgen. Ein lokaler, nicht authentisierter Angreifer kann Privilegien
eskalieren.

CVE-2017-15102: Schwachstelle in Linux-Kernel ermöglicht
Privilegieneskalation

Aufgrund einer Wettlaufsituation (Race Condition) in der Funktion
‘tower_probe’ des ‘legousbtower’-Treibers kann es zur Dereferenzierung eines
NULL-Zeigers kommen. In der Folge kann ein lokaler, nicht authentisierter
Angreifer mit Hilfe eines speziell präparierten USB-Eingabegeräts seine
Privilegien eskalieren. Der LEGO USB Tower ist als Infrarotmodul Teil des
Robotics Invention System (RIS).

CVE-2017-16649: Schwachstelle in Linux-Kernel ermöglicht u.a.
Denial-of-Service-Angriff

In der Funktion ‘usbnet_generic_cdc_bind’ in der Datei
‘drivers/net/usb/cdc_ether.c’ im Linux-Kernel bis Version 4.13.11 existiert
eine Schwachstelle, die unter Umständen zu einer Division durch Null
(Divide-By-Zero) führt. Dies kann von einem lokalen, nicht authentisierten
Angreifer mit Hilfe eines schädlich präparierten USB-Gerätes ausgenutzt
werden, um den Linux-Kernel und damit das System zum Absturz zu bringen oder
weitere nicht genauer spezifizierte Angriffe auszuführen.

CVE-2017-15115: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘sctp_do_peeloff’ in ‘net/sctp/socket.c’ im Linux-Kernel vor
Version 4.14 existiert eine Schwachstelle aufgrund fehlender Prüfung ob ein
Netzwerk-Namensraum zuvor von einem Socket gelöst wurde. In der Folge ist
ein Zugriff auf bereits freigegebenen Speicher möglich (Use-After-Free).
Dies ermöglicht einem lokalen Angreifer einen Denial-of-Service
(DoS)-Angriff oder weitere nicht spezifizierte Angriffe auszuführen.

CVE-2017-16538: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

In ‘drivers/media/usb/dvb-usb-v2/lmedm04.c’ im Linux-Kernel bis Version
4.13.11 existiert eine Schwachstelle aufgrund einer fehlenden Abfrage, durch
die es zu einer allgemeinen Schutzverletzung (General Protection Fault) und
damit zum Systemabsturz kommt. Ein lokaler, nicht authentisierter Angreifer
kann mit Hilfe eines speziell präparierten USB-Geräts einen
Denial-of-Service-Angriff durchführen.

CVE-2017-16537: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘imon_probe’ in ‘drivers/media/rc/imon.c’ im Linux-Kernel bis
Version 4.13.11 enthält eine Schwachstelle, durch die es zu einer
NULL-Zeiger-Dereferenzierung und damit zum Systemabsturz kommt. Ein lokaler,
nicht authentisierter Angreifer kann mit Hilfe eines speziell präparierten
USB-Geräts einen Denial-of-Service-Angriff durchführen.

CVE-2017-16536: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘cx231xx_usb_probe’ in
‘drivers/media/usb/cx231xx/cx231xx-cards.c’ im Linux-Kernel bis Version
4.13.11 enthält eine Schwachstelle, durch die es zu einer
NULL-Zeiger-Dereferenzierung und damit zum Systemabsturz kommt. Ein lokaler,
nicht authentisierter Angreifer kann mit Hilfe eines speziell präparierten
USB-Geräts einen Denial-of-Service-Angriff durchführen.

CVE-2017-16535: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘usb_get_bos_descriptor’ in ‘drivers/usb/core/config.c’ im
Linux-Kernel vor Version 4.13.10 enthält eine Schwachstelle, durch die es zu
Lesezugriffen außerhalb von Puffergrenzen (Out-of-Bounds Read) und damit zum
Systemabsturz kommt. Ein lokaler, nicht authentisierter Angreifer kann mit
Hilfe eines speziell präparierten USB-Geräts einen Denial-of-Service-Angriff
durchführen.

CVE-2017-16534: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘cdc_parse_cdc_header’ in ‘drivers/usb/core/message.c’ im
Linux-Kernel vor Version 4.13.6 enthält eine Schwachstelle, durch die es zu
Lesezugriffen außerhalb von Puffergrenzen (Out-of-Bounds Read) und damit zum
Systemabsturz kommt. Ein lokaler, nicht authentisierter Angreifer kann mit
Hilfe eines speziell präparierten USB-Geräts einen Denial-of-Service-Angriff
durchführen.

CVE-2017-16531: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die USB-Verwaltung in ‘drivers/usb/core/config.c’ im Linux-Kernel vor
Version 4.13.6 enthält eine Schwachstelle aufgrund einer fehlenden
Überprüfung der Deskriptorenkonfiguration anhand des Wertes
‘USB_DT_INTERFACE_ASSOCIATION’, durch die es zu Lesezugriffen außerhalb von
Puffergrenzen (Out-of-Bounds Read) und damit zum Systemabsturz kommt. Ein
lokaler, nicht authentisierter Angreifer kann mit Hilfe eines speziell
präparierten USB-Geräts einen Denial-of-Service-Angriff durchführen.

CVE-2017-16529: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘snd_usb_create_streams’ in ‘sound/usb/card.c’ im Linux-Kernel
vor Version 4.13.6 enthält eine Schwachstelle, durch die es zu Lesezugriffen
außerhalb von Puffergrenzen (Out-of-Bounds Read) und damit zum Systemabsturz
kommt. Ein lokaler, nicht authentisierter Angreifer kann mit Hilfe eines
speziell präparierten USB-Geräts einen Denial-of-Service-Angriff
durchführen.

CVE-2017-16527: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘snd_usb_mixer_interrupt’ in ‘sound/usb/mixer.c’ im
Linux-Kernel vor Version 4.13.8 enthält eine Schwachstelle, durch die es zu
der Benutzung von bereits freigegebenem Speicher (Use-after-Free) und damit
zum Systemabsturz kommt. Ein lokaler, nicht authentisierter Angreifer kann
mit Hilfe eines speziell präparierten USB-Geräts einen
Denial-of-Service-Angriff durchführen.

CVE-2017-16525: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘usb_serial_console_disconnect’ in
‘drivers/usb/serial/console.c’ im Linux-Kernel vor Version 4.13.8 enthält
eine Schwachstelle, durch die es zu der Benutzung von bereits freigegebenen
Speicher (Use-after-Free) und damit zum Systemabsturz kommt. Ein lokaler,
nicht authentisierter Angreifer kann mit Hilfe eines speziell präparierten
USB-Geräts einen Denial-of-Service-Angriff durchführen.

CVE-2017-11600: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

In ‘net/xfrm/xfrm_policy.c’ im Linux-Kernel besteht eine Schwachstelle, wenn
dieser mit ‘CONFIG_XFRM_MIGRATE’ konfiguriert wurde, weil die Funktion
‘xfrm_migrate’ nicht prüft, ob der Parameter ‘dir’ kleiner ‘XFRM_POLICY_MAX’
ist. Ein lokaler, nicht authentisierter Angreifer kann die Schwachstelle
durch die Versendung eine präparierten ‘XFRM_MSG_MIGRATE’-Netlink-Nachricht
ausnutzen und auf Speicherbereiche außerhalb der zulässigen Speichergrenzen
zugreifen (Out-of-Bounds Access), wodurch ein Denial-of-Service
(DoS)-Zustand herbeigeführt oder weiterer Einfluss auf ein System ausgeübt
werden kann.

CVE-2017-14106: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘tcp_disconnect’ in ‘net/ipv4/tcp.c’ im Linux-Kernel vor
Version 4.12 erlaubt über das Anstoßen (Triggern) eines Verbindungsabbaus
(Disconnect) innerhalb eines bestimmten ‘tcp_recvmsg’-Code-Pfades eine
Division durch Null und damit einen Systemabsturz zu bewirken. Ein lokaler,
nicht authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff
durchführen.

CVE-2017-7472: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Im Untersystem ‘KEYS’ werden Schlüsselringe, die Schlüssel mit Threads
verankern (Thread Keyrings), durch die Funktion ‘keyctl_set_reqkey_keyring’
bei jedem Aufruf neu erstellt. Ein lokaler, nicht authentisierter Angreifer
kann durch eine Reihe von
‘keyctl_set_reqkey_keyring(KEY_REQKEY_DEFL_THREAD_KEYRING)’-Befehlen den
Systemspeicher erschöpfen. Mit diesem Befehl wird der Thread-spezifische
Schlüsselring als Standardziel für implizite Schlüsselanfragen für den
jeweils aktuellen Thread festgelegt und neu erstellt, auch wenn bereits ein
solcher Schlüsselring existiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0167/

Schwachstelle CVE-2017-7472 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7472

Schwachstelle CVE-2017-11600 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11600

Schwachstelle CVE-2017-14106 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14106

Schwachstelle CVE-2017-15102 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15102

Schwachstelle CVE-2017-16525 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16525

Schwachstelle CVE-2017-16527 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16527

Schwachstelle CVE-2017-16529 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16529

Schwachstelle CVE-2017-16531 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16531

Schwachstelle CVE-2017-16534 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16534

Schwachstelle CVE-2017-16535 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16535

Schwachstelle CVE-2017-16536 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16536

Schwachstelle CVE-2017-16537 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16537

Schwachstelle CVE-2017-16538 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16538

Schwachstelle CVE-2017-16649 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16649

Schwachstelle CVE-2017-15115 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15115

Schwachstelle CVE-2017-16939 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16939

Schwachstelle CVE-2017-13167 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13167

Schwachstelle CVE-2017-15868 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15868

Schwachstelle CVE-2017-8824 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8824

Schwachstelle CVE-2017-17450 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-17450

Schwachstelle CVE-2017-17558 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-17558

Schwachstelle CVE-2017-17805 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-17805

Schwachstelle CVE-2017-17806 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-17806

Schwachstelle CVE-2017-5715 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5715

Schwachstelle CVE-2017-5753 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5753

Schwachstelle CVE-2017-5754 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5754

SUSE Security Update SUSE-SU-2018:0180-1:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003622.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben