Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 4 (24.04.18):
Canonical stellt für Ubuntu 16.04 LTS Sicherheitsupdates für den Linux-
Kernel for Microsoft Azure Cloud Systeme bereit, welche 15 der genannten
Schwachstellen adressieren.
Version 3 (09.04.18):
Canonical hat über die Ubuntu Security Notice USN-3619-1 Informationen zu
Schwachstellen im Linux-Kernel für Ubuntu 16.04 LTS veröffentlicht. In
einem neuen Sicherheitshinweis (USN-3619-2) werden die entsprechenden
Sicherheitsupdates für den Linux Hardware Enablement (HWE) Kernel von
Ubuntu 16.04 LTS für Ubuntu 14.04 LTS sowie Updates des Linux-Kernel für
Amazon Web Services (AWS) angekündigt.
Version 2 (05.04.18):
Canonical stellt weitere Kernel-Updates für verschiedene Ubuntu-
Distributionen und Kernel-Versionen zur Verfügung. Mittels der Ubuntu
Security Notice USN-3617-3 werden mit Ausnahme von CVE-2017-1000407 die
bereits aufgeführten Schwachstellen für Ubuntu 17.10, Raspberry Pi 2
behoben. Der Linux-Kernel für Ubuntu 16.04 LTS, wie auch für Amazon Web
Services (AWS) Systeme, Cloud Environments, Raspberry Pi 2 und Snapdragon
Prozessoren wird um 19 zusätzliche Schwachstellen bereinigt, die Großteils
für Denial-of-Service-Angriffe genutzt werden können. Eine der
Schwachstellen ermöglicht aber einem lokalen, nicht authentisierten
Angreifer das Ausführen beliebigen Programmcodes mit den Rechten des
Kernels (siehe USN-3619-1). Für Ubuntu 14.04 LTS (USN-3620-1) und Ubuntu
12.04 ESM, Trusty HWE (USN-3620-2) stehen Sicherheitsupdates bereit, die
lediglich acht bzw. neun Schwachstellen beheben, zu denen allerdings die
schwerwiegende Schwachstelle CVE-2017-12762 gehört, die ein entfernter,
nicht authentisierter Angreifer eventuell für eine komplette
Kompromittierung des Systems ausnutzen kann.
Version 1 (04.04.18):
Neues Advisory
Zwei Schwachstellen ermöglichen auch einem entfernten, nicht authentisierten
Angreifer eine Privilegieneskalation und das Erlangen erweiterter Rechte.
Ein einfach authentisierter, im benachbarten Netzwerk befindlicher oder ein
lokaler, auch nicht authentisierter Angreifer kann mehrere Schwachstellen
ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen
oder möglicherweise anderen, nicht näher spezifizierten Einfluss auf ein
betroffenes System zu nehmen. Ein lokaler, einfach authentisierter Angreifer
kann weitere Schwachstellen ausnutzen und beabsichtigte
Sicherheitsvorkehrungen umgehen oder Informationen ausspähen.
Für einige der aufgelisteten Schwachstellen räumt Canonical das Ausführen
beliebigen Programmcodes als weitere Auswirkung der erfolgreichen Ausnutzung
ein.
Canonical stellt für Ubuntu 17.10 und Ubuntu 16.04 LTS Sicherheitsupdates
für den Linux-Kernel bzw. den Linux-Kernel für Google Cloud Platform (GCP)
Systeme, Linux Hardware Enablement (HWE) Kernel und Linux-Kernel für OEM
Prozessoren zur Verfügung.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0631]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
