ClickCease Hochgradige Sicherheitslücken in Ubuntu 18.04 behoben

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Hochgradige Sicherheitslücken in Ubuntu 18.04 behoben

von Rohan Timalsina

3. November 2023. TuxCare-Expertenteam

Das Ubuntu-Sicherheitsteam hat neue Updates für Ubuntu 16.04 und Ubuntu 18.04 veröffentlicht, mit denen mehrere schwerwiegende Sicherheitslücken im Linux-Kernel geschlossen werden. Da beide Betriebssysteme das Ende ihrer Lebensdauer erreicht haben, sind die Patches nur für Benutzer mit einem Ubuntu Pro-Abonnement verfügbar.

Während der Preis von Ubuntu Pro relativ teuer ist, können Sie sich für eine erschwingliche Option entscheiden, den Extended Lifecycle Support von TuxCare, der bis zu fünf Jahre nach Ablauf der EOL-Periode Sicherheitspatches in Herstellerqualität bietet.

Wir werden später mehr dazu sagen, aber zunächst wollen wir uns einige der kritischen Sicherheitslücken ansehen, die in Ubuntu 16.04 und Ubuntu 18.04 behoben wurden. Wir werden auch die potenziellen Risiken dieser Probleme kennenlernen und erfahren, warum es wichtig ist, sie zu patchen, um die Sicherheit und Stabilität des Systems zu erhalten.

 

Schwachstellen mit hohem Schweregrad behoben

CVE-2023-42753 (Cvss 3 Schweregrad: 7.8)

Im Subsystem netfilter des Linux-Kernels wurde eine Schwachstelle beim Schreiben außerhalb der Grenzen entdeckt, die auf eine falsche Berechnung des h->nets Array-Offset. Ein lokaler Benutzer kann diesen Fehler nutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.

 

CVE-2023-4921 (Cvss 3 Schweregrad: 7.8)

Eine 'Use-after-free'-Schwachstelle wurde in der Quick Fair Queueing Scheduler-Implementierung innerhalb des Linux-Kernels entdeckt, da diese unter bestimmten Bedingungen Netzwerkpakete falsch behandelt. Ein lokaler Benutzer könnte diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.

 

CVE-2023-4881 (Cvss 3 Schweregrad: 7.1)

Im Netfilter-Subsystem des Linux-Kernels wurde eine Schwachstelle beim Schreiben außerhalb der Grenzen festgestellt, die auf eine unsachgemäße Validierung der Registerlänge zurückzuführen ist. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen.

Hinweis: Er wurde fälschlicherweise einem Fehler zugeordnet, der vom Linux-Kernel-Sicherheitsteam als nicht sicherheitsrelevant eingestuft wurde.

CVE-2023-4622 (Cvss 3 Schweregrad: 7.0)

In der Unix-Domain-Socket-Implementierung des Linux-Kernels wurde eine Race-Condition gefunden, die zu einer Use-after-free-Schwachstelle führt. Ein lokaler Benutzer kann diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.

 

CVE-2023-34319 (Cvss 3 Schweregrad: 7.8)

Eine Pufferüberlauf-Schwachstelle wurde im Xen-Netback-Backend-Treiber innerhalb des Linux-Kernels aufgrund einer unsachgemäßen Behandlung bestimmter ungewöhnlicher Pakete von einem paravirtualisierten Netzwerk-Frontend gefunden. Ein Angreifer in einer Gast-VM kann diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.

 

CVE-2023-4623 (Cvss 3 Schweregrad: 7.8)

Eine 'Use-after-free'-Schwachstelle wurde in der qdisc-Implementierung im Linux-Kernel entdeckt, wo es nicht gelang, innere Klassen richtig zu validieren. Ein lokaler Benutzer kann diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.

 

Schwachstellen mit mittlerem Schweregrad und hoher Priorität

CVE-2023-42752 (Cvss 3 Schweregrad: 5.5)

Eine Integer-Überlauf-Schwachstelle wurde in der Networking-Stack-Implementierung des Linux-Kernels gefunden, wo die Validierung der skb-Objektgröße (Socket-Puffer) unter bestimmten Bedingungen nicht korrekt war. Ein Angreifer könnte diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.

 

CVE-2023-42755 (Cvss 3 Schweregrad: 5.5)

In der IPv4 Resource Reservation Protocol (RSVP) Classifier-Implementierung im Linux-Kernel wurde eine Schwachstelle beim Schreiben außerhalb des zulässigen Bereichs gefunden. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um einen Denial-of-Service (Systemabsturz) zu verursachen. Die Unterstützung des Kernel-Paketklassifizierers für RSVP wurde entfernt, um diese Sicherheitslücke zu schließen.

 

Erweiterte Lifecycle-Unterstützung für Ubuntu

Der offizielle Support für Ubuntu 16.04 endete vor zwei Jahren, im April 2021. Und Ubuntu 18.04 erhielt vor kurzem seinen End-of-Life-Status im Juni 2023. Da es keine Sicherheitsupdates gibt, sind die EOL-Systeme aufgrund potenzieller Sicherheitslücken stark gefährdet. Daher ist es wichtig, auf die langfristig unterstützte Version zu aktualisieren oder sich für den erweiterten Lebenszyklus-Support zu entscheiden.

Der Extended Lifecycle Support von TuxCare bietet die neuesten Sicherheitsupdates für den Linux-Kernel, gemeinsam genutzte Bibliotheken wie glibc, openssh und openssl sowie Userspace-Pakete. TuxCare überwacht kontinuierlich kritische Kernel-Schwachstellen und andere Sicherheitsprobleme im Zusammenhang mit dem End-of-Life-Betriebssystem. Patches für besonders schwerwiegende Sicherheitslücken werden veröffentlicht, sobald sie fertiggestellt und getestet sind.

 

Die Quellen für diesen Artikel sind in USN-6440-1 zu finden.

Zusammenfassung
Hochgradige Sicherheitslücken in Ubuntu 18.04 behoben
Artikel Name
Hochgradige Sicherheitslücken in Ubuntu 18.04 behoben
Beschreibung
Entdecken Sie die schwerwiegenden Linux-Kernel-Schwachstellen, die in den neuen Sicherheitsupdates für Ubuntu 16.04 und Ubuntu 18.04 gepatcht wurden.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!