Hochgradige Sicherheitslücken in Ubuntu 18.04 behoben
Das Ubuntu-Sicherheitsteam hat neue Updates für Ubuntu 16.04 und Ubuntu 18.04 veröffentlicht, mit denen mehrere schwerwiegende Sicherheitslücken im Linux-Kernel geschlossen werden. Da beide Betriebssysteme das Ende ihrer Lebensdauer erreicht haben, sind die Patches nur für Benutzer mit einem Ubuntu Pro-Abonnement verfügbar.
Während der Preis von Ubuntu Pro relativ teuer ist, können Sie sich für eine erschwingliche Option entscheiden, den Extended Lifecycle Support von TuxCare, der bis zu fünf Jahre nach Ablauf der EOL-Periode Sicherheitspatches in Herstellerqualität bietet.
Wir werden später mehr dazu sagen, aber zunächst wollen wir uns einige der kritischen Sicherheitslücken ansehen, die in Ubuntu 16.04 und Ubuntu 18.04 behoben wurden. Wir werden auch die potenziellen Risiken dieser Probleme kennenlernen und erfahren, warum es wichtig ist, sie zu patchen, um die Sicherheit und Stabilität des Systems zu erhalten.
Schwachstellen mit hohem Schweregrad behoben
CVE-2023-42753 (Cvss 3 Schweregrad: 7.8)
Im Subsystem netfilter des Linux-Kernels wurde eine Schwachstelle beim Schreiben außerhalb der Grenzen entdeckt, die auf eine falsche Berechnung des h->nets
Array-Offset. Ein lokaler Benutzer kann diesen Fehler nutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.
CVE-2023-4921 (Cvss 3 Schweregrad: 7.8)
Eine 'Use-after-free'-Schwachstelle wurde in der Quick Fair Queueing Scheduler-Implementierung innerhalb des Linux-Kernels entdeckt, da diese unter bestimmten Bedingungen Netzwerkpakete falsch behandelt. Ein lokaler Benutzer könnte diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.
CVE-2023-4881 (Cvss 3 Schweregrad: 7.1)
Im Netfilter-Subsystem des Linux-Kernels wurde eine Schwachstelle beim Schreiben außerhalb der Grenzen festgestellt, die auf eine unsachgemäße Validierung der Registerlänge zurückzuführen ist. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen.
Hinweis: Er wurde fälschlicherweise einem Fehler zugeordnet, der vom Linux-Kernel-Sicherheitsteam als nicht sicherheitsrelevant eingestuft wurde.
CVE-2023-4622 (Cvss 3 Schweregrad: 7.0)
In der Unix-Domain-Socket-Implementierung des Linux-Kernels wurde eine Race-Condition gefunden, die zu einer Use-after-free-Schwachstelle führt. Ein lokaler Benutzer kann diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.
CVE-2023-34319 (Cvss 3 Schweregrad: 7.8)
Eine Pufferüberlauf-Schwachstelle wurde im Xen-Netback-Backend-Treiber innerhalb des Linux-Kernels aufgrund einer unsachgemäßen Behandlung bestimmter ungewöhnlicher Pakete von einem paravirtualisierten Netzwerk-Frontend gefunden. Ein Angreifer in einer Gast-VM kann diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.
CVE-2023-4623 (Cvss 3 Schweregrad: 7.8)
Eine 'Use-after-free'-Schwachstelle wurde in der qdisc-Implementierung im Linux-Kernel entdeckt, wo es nicht gelang, innere Klassen richtig zu validieren. Ein lokaler Benutzer kann diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.
Schwachstellen mit mittlerem Schweregrad und hoher Priorität
CVE-2023-42752 (Cvss 3 Schweregrad: 5.5)
Eine Integer-Überlauf-Schwachstelle wurde in der Networking-Stack-Implementierung des Linux-Kernels gefunden, wo die Validierung der skb-Objektgröße (Socket-Puffer) unter bestimmten Bedingungen nicht korrekt war. Ein Angreifer könnte diese Schwachstelle ausnutzen, um das System zum Absturz zu bringen oder sogar beliebigen Code auszuführen.
CVE-2023-42755 (Cvss 3 Schweregrad: 5.5)
In der IPv4 Resource Reservation Protocol (RSVP) Classifier-Implementierung im Linux-Kernel wurde eine Schwachstelle beim Schreiben außerhalb des zulässigen Bereichs gefunden. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um einen Denial-of-Service (Systemabsturz) zu verursachen. Die Unterstützung des Kernel-Paketklassifizierers für RSVP wurde entfernt, um diese Sicherheitslücke zu schließen.
Erweiterte Lifecycle-Unterstützung für Ubuntu
Der offizielle Support für Ubuntu 16.04 endete vor zwei Jahren, im April 2021. Und Ubuntu 18.04 erhielt vor kurzem seinen End-of-Life-Status im Juni 2023. Da es keine Sicherheitsupdates gibt, sind die EOL-Systeme aufgrund potenzieller Sicherheitslücken stark gefährdet. Daher ist es wichtig, auf die langfristig unterstützte Version zu aktualisieren oder sich für den erweiterten Lebenszyklus-Support zu entscheiden.
Der Extended Lifecycle Support von TuxCare bietet die neuesten Sicherheitsupdates für den Linux-Kernel, gemeinsam genutzte Bibliotheken wie glibc, openssh und openssl sowie Userspace-Pakete. TuxCare überwacht kontinuierlich kritische Kernel-Schwachstellen und andere Sicherheitsprobleme im Zusammenhang mit dem End-of-Life-Betriebssystem. Patches für besonders schwerwiegende Sicherheitslücken werden veröffentlicht, sobald sie fertiggestellt und getestet sind.
Die Quellen für diesen Artikel sind in USN-6440-1 zu finden.