UPDATE: DFN-CERT-2014-0963 Linux-Kernel: Zwei Schwachstellen ermöglichen die Eskalation von Privilegien [Linux][RedHat]

UPDATE: DFN-CERT-2014-0963 Linux-Kernel: Zwei Schwachstellen ermöglichen die Eskalation von Privilegien [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.07.2014):
Für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte stehen
ebenfalls Sicherheitsupdates bereit.
Version 1 (24.07.2014):
Neues Advisory

Betroffene Software:

Linux Kernel

Betroffene Plattformen:

Red Hat Enterprise Linux 6 Server
Red Hat Enterprise Linux 6 Workstation
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Server 6.4 AUS
Red Hat Enterprise Linux Server 6.4.z EUS
Red Hat Enterprise Linux Server 6.5 AUS
Red Hat Enterprise Linux Server 6.5.z EUS

Zwei Schwachstellen im Linux-Kernel ermöglichen einem lokalen, nicht
authentifizierten Angreifer die Eskalation von Privilegien bis hin zu
Administratorrechten und die Durchführung von Denial-of-Service-Angriffen.

Patch:

Red Hat Security Advisory RHSA-2014:0923

http://rhn.redhat.com/errata/RHSA-2014-0923.html

Patch:

Red Hat Security Advisory RHSA-2014:0924

http://rhn.redhat.com/errata/RHSA-2014-0924.html

Patch:

Red Hat Security Advisory RHSA-2014:0925

http://rhn.redhat.com/errata/RHSA-2014-0925.html

CVE-2014-4943: Schwachstelle im Linux-Kernel ermöglicht
Privilegieneskalation

Im point-to-point Protokoll des Linux-Kernel besteht eine Schwachstelle,
wenn es mit dem Layer Two Tunneling Protocol (L2TP) genutzt wird
(CONFIG_PPPOL2TP ist aktiviert). Ein lokaler, nicht authentifizierter
Angreifer kann die Schwachstelle ausnutzen, um Administratorrechte zu
erlangen.

CVE-2014-4699: Schwachstelle im Linux-Kernel

“process trace” ist ein Systemaufruf, der zur Kontrolle oder Diagnose
anderer Prozesse in der Softwareentwicklung eingesetzt wird. Auf 64Bit
Systemen kann infolge einer fehlenden Überprüfung des Befehlszählers durch
“process trace” durch einen nicht privilegierten, lokalen Angreifer der
Linux-Kernel in einen instabilen Zustand gebracht werden. Die Schwachstelle
kann zu einem Denial-of-Service-Angriff oder zur Erlangungen weiterer
Privilegien ausgenutzt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0963/

Schwachstelle CVE-2014-4699 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4699

Schwachstelle CVE-2014-4943 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4943

Red Hat Security Advisory RHSA-2014:0923:
http://rhn.redhat.com/errata/RHSA-2014-0923.html

Red Hat Security Advisory RHSA-2014:0924:
http://rhn.redhat.com/errata/RHSA-2014-0924.html

Red Hat Security Advisory RHSA-2014:0925:
http://rhn.redhat.com/errata/RHSA-2014-0925.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben