Categories: Sicherheit

Ubuntu-Update schließt vier Linux-Kernel-Lücken

Canonical hat ein Update für Ubuntu 14.04 LTS veröffentlicht, das vier Schwachstellen im Linux-Kernel beseitigt. Eine davon ermöglicht es einem Angreifer theoretisch, Schadcode auf das System einzuschleusen und auszuführen. Jedoch lässt sich keine der Sicherheitslücken aus der Ferne ausnutzen.

Das größte Risiko geht laut einer Sicherheitsmeldung von einem Use-after-free-Fehler im Linux-Kernel-Treiber aus. Die als moderat eingestufte Schwachstelle (CVE-2015-8812) wurde bereits vergangenes Jahr von Venkatesh Pottem entdeckt und ermöglicht es einem lokalen Angreifer, einen Systemabsturz zu provozieren, um anschließend beliebigen Code auszuführen.

„Ein Fehler wurde im Kernel-Treiber CXGB3 gefunden als das Netzwerk überlastet erschien. Der Kernel missinterpretiert die Überlastung als Fehlerzustand und leert den Socket Buffer (SKB). Wenn das Gerät dann die SKBs in der Warteschlange sendet, werden diese Strukturen referenziert und könnten zu einer Systempanik führen oder einem Angreifer Rechteausweitung in einem Use-after-free-Szenario erlauben“, erklärt Canonical.

Das Update schließt auch eine mit niedriger Priorität eingestufte Side-Channel-Lücke (CVE-2016-2085) im Linux Extended Verification Module (EVM). Sie kann ein Angreifer ausnutzen, um die Systemintegrität zu kompromittieren.

WEBINAR

Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern

Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.

Aufgrund einer fehlerhaften Verarbeitung von Dateideskriptoren durch den Linux-Kernel wäre ein lokaler böswilliger Nutzer außerdem in der Lage, einen Denial-of-Service auszulösen. Diese „moderate“ Schwachstelle (CVE-2016-2550) wurde von David Hermann entdeckt.

Die vierte Sicherheitslücke (CVE-2016-2847), wiederum mit niedriger Priorität, lässt sich ebenfalls für einen Denial-of-Service-Angriff ausnutzen. Hier besteht das Problem darin, dass der Linux-Kernel keine Limits für die Buffer Pipes zugewiesene Datenmenge durchsetzt.

Ubuntu-Desktop-Nutzer werden in der Regel täglich vom System über verfügbare Sicherheitsupdates informiert. Sie müssen die heute veröffentlichten Patches also einfach nur installieren.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

15 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

15 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

22 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago