DFN-CERT-2014-1433 Linux-Kernel: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][RedHat]

DFN-CERT-2014-1433 Linux-Kernel: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Linux Kernel

Betroffene Plattformen:

Red Hat Enterprise Linux Server 6.2 AUS

Durch Ausnutzen dieser Schwachstellen kann ein im benachbarten Netzwerk
befindlicher, nicht authentisierter Angreifer einen
Denial-of-Service-Angriff durchführen, bzw. ein lokaler, nicht
privilegierter Angreifer seine Rechte erhöhen oder ebenfalls einen
Denial-of-Service (DoS)-Angriff durchführen. Diese Schwachstellen werden
durch Bereitstellung aktualisierter Linux-Kernel Pakete für Red Hat
Enterprise Linux Server AUS (v. 6.2) behoben.

Patch:

Red Hat Security Advisory RHSA-2014:1763

http://rhn.redhat.com/errata/RHSA-2014-1763.html

CVE-2014-0205: Schwachstelle im Linux-Kernel ermöglicht
Privilegieneskalation

Es existiert eine Use-after-free-Schwachstelle im Futex-Subsystem des
Linux-Kernel bei der Behandlung des Referenzzählers beim Wiedereinstellen in
die Warteschlange von Futexes während der futex_wait() Funktion. Ein
lokaler, nicht priviligierter Angreifer kann den Referenzzähler einer Inode
oder einer mm-Struktur, die den Speicherbereich eines Futex sichert, auf
Null setzen, wodurch Speicher freigegeben und trotzdem benutzt wird.
Daraufhin kann es zu einem Systemabsturz kommen oder der Angreifer kann sich
privilegierte Rechte aneignen.

CVE-2014-5077: Schwachstelle im Linux-Kernel ermöglicht Denial-of-Service

Es besteht eine Schwachstelle für Linux-Kernel mit SCTP-Unterstützung
(Stream Control Transmission Protokoll). Ein nicht authentisierter Angreifer
im lokalen Netzwerk kann diese Schwachstelle durch Initiieren mehrerer
Verbindungen mit dem betroffenen System zu einem Denial-of-Service-Angriff
ausnutzen (“NULL pointer dereference”).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1433/

Schwachstelle CVE-2014-0205 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0205

Schwachstelle CVE-2014-5077 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5077

Red Hat Security Advisory RHSA-2014:1763:
http://rhn.redhat.com/errata/RHSA-2014-1763.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben