|
Im Netzwerk-Stack weisen die Kernel von Linux
und FreeBSD Sicherheitslücken auf. Es sind unterschiedliche
Versionen der Kernel von den vier von Netflix entdeckten Lücken
betroffen und haben unterschiedlich schwere Auswirkungen. Unter
bestimmten Voraussetzungen kann die problematischste (CVE-2019-11477,
"SACK Panic") Angreifern unter Linux ermöglichen,
eine Kernel Panic aus der Ferne zu provozieren.
Eine Kernel Panic ist eine Fehlermeldung des Kernels, welche aus
einem Zustand erfolgt, in welchem das Betriebssystem nicht mehr
lauffähig ist. Dadurch kann das betroffene System seine Aufgaben
nicht mehr wahrnehmen und verweigert somit den Dienst.
Von
RedHat wird CVE-2019-11477 als "wichtig" eingestuft
und hat einen CVSS-v3-Base-Score von 7.5. Ab einschließlich
Version 2.6.29 ist der Linux-Kernel von der Lücke betroffen.
CVE-2019-11478 und CVE-2019-11479 in mehreren Linux-Kernel-Versionen
sowie CVE-2019-5599 in FreeBSD 12 haben weniger dramatische Auswirkungen.
Betroffene Systeme können durch sie dazu gebracht werden, unverhältnismäßig
viele Ressourcen zu konsumieren. Allerdings kann unter bestimmten
Voraussetzungen auch dies für DoS-Attacken genutzt werden.
Zur Zeit werden von den bekannten Linux-Distributionen von Netflix
veröffentlichte Patches implementiert. Aktualisierte Pakete sind
teilweise bereits verfügbar, z.B. für Arch Linux, Debian,
RedHat, SUSE oder Ubuntu.
(jf, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|
