DFN-CERT-2014-1417 Linux-Kernel: Mehrere Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT-2014-1417 Linux-Kernel: Mehrere Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Linux Kernel

Betroffene Plattformen:

Red Hat Fedora 20

Mehrere Schwachstellen im Linux-Kernel ermöglichen einem entweder lokalen
oder entfernten und entweder authentifizierten oder nicht authentifizierten
Angreifer einen Denial-of-Service-Angriff durchzuführen.

Patch:

Fedora Security Update FEDORA-2014-13773

https://admin.fedoraproject.org/updates/FEDORA-2014-13773/kernel-3.16.6-203.fc20

CVE-2014-8369: Schwachstelle im Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle im Linux-Kernel, im Zusammenhang mit der Funktion
kvm_iommu_map_pages(), führt dazu, dass Fehler in der Behandlung von
Iommu-Zuordnungen nicht korrekt verarbeitet werden. Diese Schwachstelle
wurde mit der Behebung der Schwachstelle CVE-2014-3601 eingeführt. Ein
lokaler, authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2014-3646: Denial-of-Service-Schwachstelle im Linux-Kernel bzgl. der
Unterstützung von invvpid Anweisungen

Eine Schwachstelle im Linux-Kernel, im Zusammenhang mit der Unterstützung
von invvpid Anweisungen, führt dazu, dass wenn das entsprechende Bit
IA32_VMX_EPT_VPID_CAP im MSR Register gesetzt ist, der Aufruf von invvpid
zum Absturz des Gast-Systems führt. Ein lokaler, nicht authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2014-3611: Denial-of-Service-Schwachstelle im Linux-Kernel im
Zusammenhang mit der PIT-Emulation in KVM

Eine Schwachstelle im Linux-Kernel, im Zusammenhang mit der PIT-Emulation in
KVM, führt dazu, dass in der Funktion ‘__kvm_migrate_pit_timer’ der Zugriff
auf das ‘pit_timer’ Objekt ohne Synchronisation erfolgt. Eine zeitkritische
Verarbeitung (race condition) bei Zugriffen auf die PIT-I/O-Ports, führt zu
einem Systemabsturz.
Ein entfernter, authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2014-3610: Schwachstelle im Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle im Linux-Kernel führt dazu, dass von einem Gast ein nicht
autorisierter Wert in ein MSR-Register geschrieben werden kann. Der
KVM-Prozess schreibt diesen Wert dann in ein MSR-Register in der
Host-Umgebung und durch ein #GP wird eine Kernel-Panik ausgelöst, die einen
Systemabsturz zur Folge hat. Ein entfernter, authentifizierter Angreifer
kann einen Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1417/

Schwachstelle CVE-2014-3610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3610

Schwachstelle CVE-2014-3611 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3611

Schwachstelle CVE-2014-3646 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3646

Schwachstelle CVE-2014-8369 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8369

Fedora Security Update FEDORA-2014-13773:
https://admin.fedoraproject.org/updates/FEDORA-2014-13773/kernel-3.16.6-203.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben