UPDATE: DFN-CERT-2014-0980 Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten [Linux][Fedora]

UPDATE: DFN-CERT-2014-0980 Linux-Kernel: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (04.08.2014):
Das Sicherheitsupdate für Fedora 19 FEDORA-2014-9005 wurde durch ein
neues Update FEDORA-2014-9142 ersetzt.
Version 1 (30.07.2014):
Neues Advisory

Betroffene Software:

Linux Kernel

Betroffene Plattformen:

Red Hat Fedora 19
Red Hat Fedora 20

Mehrere Schwachstellen im Linux-Kernel ermöglichen einem lokalen, vereinzelt
aber auch einem sich im benachbarten Netzwerk befindenden, nicht
authentifizierten Angreifer die Durchführung von Denial-of-Service-Angriffen
oder das Ausführen beliebigen Programmcodes mit Administratorrechten.

Patch:

Fedora Security Update FEDORA-2014-9010

https://admin.fedoraproject.org/updates/FEDORA-2014-9010/kernel-3.15.7-200.fc20

Patch:

Fedora Security Update FEDORA-2014-9142

https://admin.fedoraproject.org/updates/FEDORA-2014-9142/kernel-3.14.15-100.fc19

CVE-2014-5077: Schwachstelle im Linux Kernel ermöglicht Denial-of-Service

Es besteht eine Schwachstelle für Linux-Kernel mit SCTP-Unterstützung
(Stream Control Transmission Protokoll). Ein nicht authentisierter Angreifer
im lokalen Netzwerk kann diese Schwachstelle durch Initiieren mehrerer
Verbindungen mit dem betroffenen System zu einem Denial-of-Service-Angriff
ausnutzen (“NULL pointer dereference”).

CVE-2014-5045: Schwachstelle im Linux-Kernel im VFS

Es besteht eine Schwachstelle im Linux-Kernel, die auf einer fehlerhaften
Referenzzählung, hervorgerufen durch das “Unmounten” eines symbolischen
Links, im virtuellen Dateisystem (VFS) beruht. Ein lokaler, nicht
authentisierter Angreifer kann die Schwachstelle zu einem
Denial-of-Service-Angriff ausnutzen oder einen Use-after-free-Fehler
bewirken.

CVE-2014-4171: Schwachstelle im Linux-Kernel ermöglicht Denial-of-Service

Die Interaktion von Range-Notification und Hole-Punching ist nicht korrekt
in der “mm/shmem.c” im Linux-Kernel implementiert. Ein lokaler, nicht
authentifizierter Angreifer kann über einen mmap-Systemcall einen
Denial-of-Service-Angriff durchführen.

CVE-2014-3534: Schwachstelle im Linux-Kernel ermöglicht das Ausführen
beliebigen Programmcodes mit Administratorrechten

Es besteht ein Schwachstelle im Linux-Kernel auf s390-Großrechnern, welche
PSW-Eingabemasken fehlerhaft behandelt. Ein lokaler, nicht authentisierter
Angreifer kann die Schwachstelle dazu ausnutzen, um sich Lese- und
Schreibrechte im Kernelspeicher anzueignen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0980/

Schwachstelle CVE-2014-4171 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4171

Schwachstelle CVE-2014-3534 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3534

Fedora Security Update FEDORA-2014-9010:
https://admin.fedoraproject.org/updates/FEDORA-2014-9010/kernel-3.15.7-200.fc20

Schwachstelle CVE-2014-5045 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5045

Schwachstelle CVE-2014-5077 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5077

Fedora Security Update FEDORA-2014-9142:
https://admin.fedoraproject.org/updates/FEDORA-2014-9142/kernel-3.14.15-100.fc19

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben