DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2023: Linux-Kernel: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe

Historie

Version 1 (2017-11-14 12:01)
Neues Advisory
Version 2 (2017-11-16 12:36)
Für Oracle VM 3.4 steht ein Sicherheitsupdate zur Behebung der Schwachstellen bereit.

Betroffene Software

Linux-Kernel

Betroffene Plattformen

Oracle Linux 6
Oracle Linux 7
Oracle VM Server 3.4

Lösung

Patch

Oracle Linux Security Advisory ELSA-2017-3640

Patch

Oracle VM Security Advisory OVMSA-2017-0169 (Oracle VM 3.4)

Beschreibung

Mehrere Schwachstellen ermöglichen einem lokalen Angreifer die Ausführung von Denial-of-Service (DoS)-Angriffen. Dabei kann eine der Schwachstellen durch einen nicht authentisierten Angreifer ausgenutzt werden, während zwei weitere Schwachstellen nur von einem einfach authentisierten Angreifer ausgenutzt werden können.

Oracle stellt für die Distributionen Oracle Linux 6 und 7 Sicherheitsupdates zur Behebung der Schwachstellen im Kernel bereit.

Schwachstellen

CVE-2017-12192: Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

Die 'keyctl_read_key' Funktion in 'security/keys/keyctl.c' in der Key Management Subcomponent im Linux-Kernel vor Version 4.13.5 berücksichtigt die Möglichkeit, dass ein Key existiert aber negativ instantiiert ist nicht ausreichend. Ein lokaler, authentisierter Angreifer kann dies mittels einer manipulierten KEYCTL_READ Operation ausnutzen, um einen Denial-of-Service-Zustand (OOPS und System Crash) zu provozieren.

CVE-2017-2618: Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

Durch einen fehlerhaften Umgang bei der Säuberung von SELinux-Attributen in Dateien aus '/proc/pid/attr' besteht eine Schwachstelle im Linux-Kernel. Diese ermöglicht es, durch einen leeren Schreibvorgang (NULL) auf eine solche Datei, den Kernel zu veranlassen, auf nicht abgebildeten Speicher zuzugreifen, wodurch das System abstürzt. Ein lokaler, einfach authentisierter Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2016-9191: Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

Die 'cgroup offline'-Implementierung im Linux-Kernel bis einschließlich 4.8.11 behandelt bestimmte 'drain'-Operationen fehlerhaft. Ein lokaler, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen Denial-of-Service (DoS)-Zustand (System Hang) herbeizuführen, indem er den Zugang zu einer Container-Umgebung zur Ausführung einer präparierten Anwendung nutzt.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.