Categories: Sicherheit

Ubuntu-Update schließt vier Linux-Kernel-Lücken

Canonical hat ein Update für Ubuntu 14.04 LTS veröffentlicht, das vier Schwachstellen im Linux-Kernel beseitigt. Eine davon ermöglicht es einem Angreifer theoretisch, Schadcode auf das System einzuschleusen und auszuführen. Jedoch lässt sich keine der Sicherheitslücken aus der Ferne ausnutzen.

Das größte Risiko geht laut einer Sicherheitsmeldung von einem Use-after-free-Fehler im Linux-Kernel-Treiber aus. Die als moderat eingestufte Schwachstelle (CVE-2015-8812) wurde bereits vergangenes Jahr von Venkatesh Pottem entdeckt und ermöglicht es einem lokalen Angreifer, einen Systemabsturz zu provozieren, um anschließend beliebigen Code auszuführen.

„Ein Fehler wurde im Kernel-Treiber CXGB3 gefunden als das Netzwerk überlastet erschien. Der Kernel missinterpretiert die Überlastung als Fehlerzustand und leert den Socket Buffer (SKB). Wenn das Gerät dann die SKBs in der Warteschlange sendet, werden diese Strukturen referenziert und könnten zu einer Systempanik führen oder einem Angreifer Rechteausweitung in einem Use-after-free-Szenario erlauben“, erklärt Canonical.

Das Update schließt auch eine mit niedriger Priorität eingestufte Side-Channel-Lücke (CVE-2016-2085) im Linux Extended Verification Module (EVM). Sie kann ein Angreifer ausnutzen, um die Systemintegrität zu kompromittieren.

WEBINAR

Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern

Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.

Aufgrund einer fehlerhaften Verarbeitung von Dateideskriptoren durch den Linux-Kernel wäre ein lokaler böswilliger Nutzer außerdem in der Lage, einen Denial-of-Service auszulösen. Diese „moderate“ Schwachstelle (CVE-2016-2550) wurde von David Hermann entdeckt.

Die vierte Sicherheitslücke (CVE-2016-2847), wiederum mit niedriger Priorität, lässt sich ebenfalls für einen Denial-of-Service-Angriff ausnutzen. Hier besteht das Problem darin, dass der Linux-Kernel keine Limits für die Buffer Pipes zugewiesene Datenmenge durchsetzt.

Ubuntu-Desktop-Nutzer werden in der Regel täglich vom System über verfügbare Sicherheitsupdates informiert. Sie müssen die heute veröffentlichten Patches also einfach nur installieren.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago