Monatliches TuxCare-Update - Oktober 2021

Willkommen zur nächsten Ausgabe unseres monatlichen News-Round-ups, das Ihnen von TuxCare präsentiert wird. Wir haben Live-Patching-Lösungen entwickelt, die den Wartungsaufwand und die Unterbrechungen minimieren und gleichzeitig die Sicherheit und Betriebszeit Ihrer Systeme maximieren.

In dieser aktuellen Monatsübersicht beginnen wir wie gewohnt mit einer Übersicht über die neuesten CVEs, die vom TuxCare-Team gepatcht wurden. Außerdem bieten wir Ihnen die neuesten wertvollen Tipps und Ratschläge sowie einige spannende Videos, die vom TuxCare-Team erstellt wurden.

Inhalt:

1. Im Oktober bekannt gegebene CVEs
2. Video-Podcasts zur Sicherheit von Enterprise Linux
3. Die neuesten CentOS 8 End of Life Nachrichten
4. TuxCare Blog: Editor's Pick

Im Oktober bekannt gegebene CVEs

Im Oktober wurde eine Reihe von Sicherheitslücken bekannt, die Ubuntu 20.04 Hardware Enablement Stacks (HWE) und Amazon Web Services (AWS) betreffen.

Die erste, bezeichnet als CVE-2020-3702betrifft den Atheros Ath9k Wi-Fi-Treiber innerhalb des Kernels. Eine potenzielle Wettlaufsituation zwischen gleichzeitigen Threads könnte zu unerwartetem und für Angreifer ausnutzbarem Verhalten führen. Die Schwachstelle betrifft vor allem Snapdragon-basierte drahtlose Adapter und könnte einen Systemangriff ermöglichen, bei dem die drahtlose Verbindung als Einfallstor genutzt wird.

Die nächste, bezeichnet als CVE-2021-3732betrifft Dateizugriffskontrollen, die einen nicht privilegierten Zugriff auf geschützte Daten ermöglichen.

Die nächste, bezeichnet als CVE-2021-3739betrifft den BTRFS-Code innerhalb des Kernels, wo ein gekaperter Prozess, der mit CAP_SYS_ADMIN-Privilegien läuft, verwendet werden kann, um eine Dienstverweigerung auszulösen.

Die nächste, bezeichnet als CVE-2021-3743wurde in der Implementierung des IPC-Router-Protokolls von Qualcomm gefunden. Nicht validierte Metadaten können ausgenutzt werden, um auf vertrauliche Informationen zuzugreifen, die Verarbeitung zu unterbrechen oder einen Denial-of-Service auszulösen.

Die nächste, bezeichnet als CVE-2021-3753betrifft das virtuelle Terminalgerät (VT), das für den lokalen Zugriff auf ein System über die Konsole verwendet wird. Eine Wettlaufbedingung kann ausgenutzt werden, um einen Out-of-bounds-Lesefehler zu verursachen, der für die unbefugte Offenlegung von Informationen ausgenutzt werden kann.

Die nächste, bezeichnet als CVE-2021-38166betrifft das BPF-Subsystem des Kernels. Ein Angreifer mit CAP_SYS_ADMIN-Privilegien kann einen Integer-Überlauf herbeiführen, um einen Out-of-Bounds-Write im HashTab-Code zu erzeugen. Diese Schwachstelle kann ausgenutzt werden, um die Ausführung von beliebigem Code zu initiieren, die Verarbeitung zu unterbrechen oder einen Denial-of-Service auszulösen. Dieser Kernel-Code war in letzter Zeit Gegenstand anderer Sicherheitslücken, die bereits erwähnt wurden erwähnt Ausführlich.

Die nächste, bezeichnet als CVE-2021-40490betrifft die EXT4-Codebasis und ist eine weitere ausnutzbare Race Condition, die für eine Dienstverweigerung ausgenutzt werden kann. Für diese Schwachstelle in diesem weit verbreiteten Code gibt es einen bekannten Weg zur Privilegienerweiterung, so dass ihre potenzielle Bedeutung als sehr hoch eingeschätzt wird.

Die letzte Sicherheitslücke, bezeichnet als CVE-2021-42008wurde in der Funktion "decode_data" des Netzwerktreibers "hamradio" gefunden. Ein Angreifer mit CAP_SYS_ADMIN-Rechten kann dies nutzen, um einen Out-of-bounds-Write zu verursachen. Diese Schwachstelle kann aus der Ferne ausgenutzt werden, um Root-Zugriff zu erlangen oder einen Denial-of-Service zu starten.

Enterprise Linux-Sicherheits-Video-Podcasts

Der Enterprise-Linux-Security-Podcast des TuxCare-Teams bietet weiterhin ausführliche aktuelle Erklärungen zu den neuesten Themen und grundlegenden Konzepten. Jay LaCroix von Learn Linux TV und Joao Correia von TuxCare sind die Gastgeber der nächsten beiden Episoden, die ab sofort zur Verfügung stehen.

Die fünfte Folge, in der es darum geht, wie Angreifer denken und vorgehen, können Sie hier ansehen: Enterprise Linux Security Episode 05 - Die Denkweise der "Angreifer" - YouTube

Die sechste Folge, in der es um Deployment-Images geht, ist hier verfügbar: Enterprise Linux Security Episode 06 - Image-Standardeinstellungen - YouTube

Diese Video-Podcasts, in denen Linux-Sicherheitsfragen erörtert werden, sind ein Muss für jeden, der mit der Verwaltung von Linux-basierten Unternehmenssystemen zu tun hat.

Die neuesten CentOS 8 End of Life Nachrichten

Im September haben wir den Start unseres Erweiterten Lebenszyklus-Support für CentOS 8nach der plötzlichen Ankündigung des Endes seiner Lebensdauer. Jetzt sind es nur noch sechzig Tage bis zum Ende der Lebensdauer von CentOS 8. Das Ende kommt in der Zeit zwischen Weihnachten und Neujahr, in der niemand eine größere Betriebssystemmigration durchführen möchte. Wenn Sie zu diesem späten Zeitpunkt noch unschlüssig sind, wie Sie vorgehen sollen, sehen Sie sich dieses Video von Jay von LearnLinuxTV für eine vollständige Liste der Optionen. Vergessen Sie nicht, dass unser Support-Paket unseren Live-Patching-Service für kritische Systemkomponenten und 24/7-Support beinhaltet.

TuxCare Blog: Editor's Pick

• Aktualisierung des CVE-Dashboards und neue Funktionen
• Wie sich Änderungen an Let's Encrypt-Zertifikaten auf Live-Patching-Kunden auswirken