Canonical hat ein Update für Ubuntu 14.04 LTS veröffentlicht, das vier Schwachstellen im Linux-Kernel beseitigt. Eine davon ermöglicht es einem Angreifer theoretisch, Schadcode auf das System einzuschleusen und auszuführen. Jedoch lässt sich keine der Sicherheitslücken aus der Ferne ausnutzen.
Das größte Risiko geht laut einer Sicherheitsmeldung von einem Use-after-free-Fehler im Linux-Kernel-Treiber aus. Die als moderat eingestufte Schwachstelle (CVE-2015-8812) wurde bereits vergangenes Jahr von Venkatesh Pottem entdeckt und ermöglicht es einem lokalen Angreifer, einen Systemabsturz zu provozieren, um anschließend beliebigen Code auszuführen.
„Ein Fehler wurde im Kernel-Treiber CXGB3 gefunden als das Netzwerk überlastet erschien. Der Kernel missinterpretiert die Überlastung als Fehlerzustand und leert den Socket Buffer (SKB). Wenn das Gerät dann die SKBs in der Warteschlange sendet, werden diese Strukturen referenziert und könnten zu einer Systempanik führen oder einem Angreifer Rechteausweitung in einem Use-after-free-Szenario erlauben“, erklärt Canonical.
Das Update schließt auch eine mit niedriger Priorität eingestufte Side-Channel-Lücke (CVE-2016-2085) im Linux Extended Verification Module (EVM). Sie kann ein Angreifer ausnutzen, um die Systemintegrität zu kompromittieren.
Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern
Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.
Aufgrund einer fehlerhaften Verarbeitung von Dateideskriptoren durch den Linux-Kernel wäre ein lokaler böswilliger Nutzer außerdem in der Lage, einen Denial-of-Service auszulösen. Diese „moderate“ Schwachstelle (CVE-2016-2550) wurde von David Hermann entdeckt.
Die vierte Sicherheitslücke (CVE-2016-2847), wiederum mit niedriger Priorität, lässt sich ebenfalls für einen Denial-of-Service-Angriff ausnutzen. Hier besteht das Problem darin, dass der Linux-Kernel keine Limits für die Buffer Pipes zugewiesene Datenmenge durchsetzt.
Ubuntu-Desktop-Nutzer werden in der Regel täglich vom System über verfügbare Sicherheitsupdates informiert. Sie müssen die heute veröffentlichten Patches also einfach nur installieren.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Ubuntu-Update schließt vier Linux-Kernel-Lücken
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.