DFN-CERT-2017-2023 Linux-Kernel: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux]

DFN-CERT-2017-2023 Linux-Kernel: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Linux-Kernel

Betroffene Plattformen:

Oracle Linux 6
Oracle Linux 7

Mehrere Schwachstellen ermöglichen einem lokalen Angreifer die Ausführung
von Denial-of-Service (DoS)-Angriffen. Dabei kann eine der Schwachstellen
durch einen nicht authentisierten Angreifer ausgenutzt werden, während zwei
weitere Schwachstellen nur von einem einfach authentisierten Angreifer
ausgenutzt werden können.

Oracle stellt für die Distributionen Oracle Linux 6 und 7 Sicherheitsupdates
zur Behebung der Schwachstellen im Kernel bereit.

Patch:

Oracle Linux Security Advisory ELSA-2017-3640

https://linux.oracle.com/errata/ELSA-2017-3640.html

CVE-2017-12192: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die ‘keyctl_read_key’ Funktion in ‘security/keys/keyctl.c’ in der Key
Management Subcomponent im Linux-Kernel vor Version 4.13.5 berücksichtigt
die Möglichkeit, dass ein Key existiert aber negativ instantiiert ist nicht
ausreichend. Ein lokaler, authentisierter Angreifer kann dies mittels einer
manipulierten KEYCTL_READ Operation ausnutzen, um einen
Denial-of-Service-Zustand (OOPS und System Crash) zu provozieren.

CVE-2017-2618: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Durch einen fehlerhaften Umgang bei der Säuberung von SELinux-Attributen in
Dateien aus ‘/proc/pid/attr’ besteht eine Schwachstelle im Linux-Kernel.
Diese ermöglicht es, durch einen leeren Schreibvorgang (NULL) auf eine
solche Datei, den Kernel zu veranlassen, auf nicht abgebildeten Speicher
zuzugreifen, wodurch das System abstürzt. Ein lokaler, einfach
authentisierter Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2016-9191: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die ‘cgroup offline’-Implementierung im Linux-Kernel bis einschließlich
4.8.11 behandelt bestimmte ‘drain’-Operationen fehlerhaft. Ein lokaler,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service (DoS)-Zustand (System Hang) herbeizuführen, indem er den
Zugang zu einer Container-Umgebung zur Ausführung einer präparierten
Anwendung nutzt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2023/

Schwachstelle CVE-2016-9191 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9191

Schwachstelle CVE-2017-2618 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2618

Schwachstelle CVE-2017-12192 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12192

Oracle Linux Security Advisory ELSA-2017-3640:
https://linux.oracle.com/errata/ELSA-2017-3640.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben