Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 9 (27.10.20):
Canonical stellt für Ubuntu 18.04 LTS und 20.04 LTS Sicherheitsupdates zur
Behebung der Schwachstellen im Linux-Kernel sowie in den Linux-Kerneln für
Amazon Web Services (AWS), Microsoft Azure Cloud, Google Cloud Platform
(GCP) und OEM-Systeme zur Verfügung.
Version 8 (26.10.20):
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für den Linux-
Kernel bereit, um die beiden BleedingTooth-Schwachstellen CVE-2020-12351
und CVE-2020-12352 zu beheben.
Version 7 (20.10.20):
Für Red Hat Enterprise Linux Workstation 7 (x86_64) steht ein
Sicherheitsupdate für den Linux-Kernel bereit, um die beiden
BleedingTooth-Schwachstellen CVE-2020-12351 und CVE-2020-12352 zu beheben.
Version 6 (20.10.20):
Für Red Hat Enterprise Linux for x86_64 – Extended Update Support 7.7, Red
Hat Enterprise Linux for Real Time 7 sowie Red Hat Enterprise Linux Server
– TUS 7.4, 7.6 und 7.7 stehen Sicherheitsupdates für den Linux-Kernel
bereit, um die beiden BleedingTooth-Schwachstellen CVE-2020-12351 und
CVE-2020-12352 zu beheben.
Version 5 (20.10.20):
Canonical stellt für Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04
LTS Sicherheitsupdates für den Linux-Kernel (linux), den Linux Hardware
Enablement (HWE) Kernel (linux-hwe, linux-hwe-5.4) sowie die Linux-Kernel
für OEM Systeme (linux-oem), Raspberry Pi (V8) Systeme (linux-raspi,
linux-raspi-5.4) und Qualcomm Snapdragon Prozessoren (linux-snapdragon)
bereit, um die beiden BleedingTooth-Schwachstellen CVE-2020-12351 und
CVE-2020-12352 zu beheben. Für Ubuntu 18.04 LTS wird mit den
Sicherheitsupdates für den Linux-Kernel für OEM Systeme (linux-oem-osp1)
und Raspberry Pi (V8) Systeme (linux-raspi2-5.3) zusätzlich die
Schwachstelle CVE-2020-24490 adressiert.
Version 4 (16.10.20):
Für Fedora 31 und 32 stehen Sicherheitsupdates in Form der Pakete
‘kernel-5.8.15-101.fc31’ und ‘kernel-5.8.15-201.fc32’ im Status ‘stable’
bereit, um die beiden BleedingTooth-Schwachstellen CVE-2020-12351 und
CVE-2020-12352 zu beheben.
Version 3 (16.10.20):
SUSE informiert über die BleedingTooth-Schwachstellen in SUSE-Produkten
und gibt an, dass CVE-2020-24490 nur SUSE Linux Enterprise 15 SP2 betrifft
und mit Kernelupdates im September behoben wurde, die nicht als
sicherheitsrelevant gekennzeichnet waren. Die anderen Schwachstellen
betreffen den Kernel von SUSE Linux Enterprise 12 SP4 und später
(CVE-2020-1235), beziehungsweise SUSE Linux Enterprise 12 SP2 und später
(CVE-2020-12352). SUSE kündigt hierfür weitere Kernelupdates an.
Version 2 (16.10.20):
Intel hat das BlueZ Advisory aktualisiert und die Einschränkung der
Sicherheitsupdates für BlueZ hinsichtlich der Version des Kernels
entfernt.
Version 1 (14.10.20):
Neues Advisory
Ein Angreifer im benachbarten Netzwerk kann zwei Denial-of-Service
(DoS)-Angriffe durchführen und möglicherweise beliebigen Programmcode mit
Kernel-Privilegien ausführen. Einer der Angriffe erfordert die Interaktion
eines Benutzers. Zudem kann ein solcher Angreifer Informationen ausspähen.
Intel informiert über die Schwachstellen und veröffentlicht
Sicherheitsupdates für BlueZ mit der Version 5.9 des Linux-Kernels, um die
Schwachstellen zu beheben.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-2241]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
