DFN-CERT-2014-1374 Linux-Kernel: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Fedora]

DFN-CERT-2014-1374 Linux-Kernel: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Linux Kernel <= 3.17 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Zwei Schwachstellen im Linux-Kernel ermöglichen einem lokalen, einfach authentisierten oder einem nicht authentisierten Angreifer im benachbarten Netz die Durchführung eines Denial-of-Service-Angriffs. Patch: Fedora Security Update FEDORA-2014-12955 https://admin.fedoraproject.org/updates/FEDORA-2014-12955/kernel-3.17.1-300.fc21

Patch:

Fedora Security Update FEDORA-2014-13020

https://admin.fedoraproject.org/updates/FEDORA-2014-13020/kernel-3.14.22-100.fc19

Patch:

Fedora Security Update FEDORA-2014-13045

https://admin.fedoraproject.org/updates/FEDORA-2014-13045/kernel-3.16.6-200.fc20

CVE-2014-7975: Schwachstelle in der do_umount Funktion des Linux-Kernels

Es besteht eine Schwachstelle im Linux-Kernel, von der bestimmte
Dateisystemfunktionen betroffen sind. Die do_umount Funktion des User
Namespace prüft nicht auf das Vorhandensein der CAP_SYS_ADMIN Capability.
Ein lokaler, nicht authentisierter Angreifer kann die Schwachstelle dazu
ausnutzen um, mit Hilfe spezieller Systemaufrufe Zugriff auf das MNT_LOCKED
Flag zu erlangen und in der Folge einen Denial-of-Service-Zustand
herbeizuführen.

CVE-2014-7970: Schwachstelle in der pivot_root Funktion des Linux-Kernels

Der Linux-Kernel bis Version 3.17 enthält eine Schwachstelle, die die
“pivot_root” Implementation im User Namespace betrifft. Die “pivot_root”
Funktion behandelt bestimmte Zielpunkte des chroot Verzeichnisses
fehlerhaft. Ein lokaler, einfach authentisierter Angreifer kann die
Schwachstelle ausnutzen und durch Veränderungen in der Bezeichnung des
chroot Verzeichnisses einen Denial-of-Service-Zustand hervorrufen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1374/

Schwachstelle CVE-2014-7970 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7970

Schwachstelle CVE-2014-7975 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7975

Fedora Security Update FEDORA-2014-12955:
https://admin.fedoraproject.org/updates/FEDORA-2014-12955/kernel-3.17.1-300.fc21

Fedora Security Update FEDORA-2014-13020:
https://admin.fedoraproject.org/updates/FEDORA-2014-13020/kernel-3.14.22-100.fc19

Fedora Security Update FEDORA-2014-13045:
https://admin.fedoraproject.org/updates/FEDORA-2014-13045/kernel-3.16.6-200.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben