Software::Distributionen::Debian
Sicherheitslücken im Debian- Kernel geschlossen
Zwei Sicherheitslücken und einige Regressionen wurden jetzt im Debian-Kernel gepatched. Beide waren der Kategorie »high« zugeordnet.
Software in the Public Interest (SPI)
Das Debian Security Advisory 4196-1 bezieht sich auf zwei Sicherheitslücken mit den CVE-Nummern
CVE-2018-1087 und
CVE-2018-8897, die jetzt im Debian-Kernel gepatched wurden. CVE-2018-1087 war von Kernel-Entwickler Andy Lutomirski entdeckt worden. Die Lücke in der Kernel-based Virtual Machine (KVM)ermöglichte es einfachen KVM-Anwendern, ihre Privilegien auszuweiten oder das Gastsystem zum Absturz zu bringen.
Die zweite Lücke, CVE-2018-8897, entdeckte Nick Peterson von der Firma Everdox Tech LLC. Sie ermöglichte unprivilegierten Anwendern, Kernel-Abstürze durch eine Lücke herbeizuführen, die darin lag, wie der Kernel mit nach Mov-to-SS- oder Pop-to-SS-Instruktionen erlaubten Debug-Exceptions umgeht. Beide Lücken, wurden in ihrer Gefährlichkeit als »high« eingestuft.
Zudem wurden drei Regressionen beseitigt, die ein Kernel-Update letzte Woche in Debian GNU/Linux 8 »Jessie« eingeschleppt hatte. Dieses Update hatte weitere Patches gegen Spectre v1 gebracht und insgesamt 27 Sicherheitslücken geschlossen, einschließlich einer bereits seit acht Jahren vorhandenen Lücke in NMap.
Anwender von Debian GNU/Linux 9 »Stretch« und Debian GNU/Linux 8 »Jessie« sollten die Updates zeitnah einspielen, indem sie auf Kernel 4.9.88-1+deb9u1 respektive 3.16.56-1+deb8u1 aktualisieren. Updates, die auf einem Debian Security Advisory (DSA) beruhen, werden in Debian möglichst zeitnah gepatched und ausgeliefert. Diese Updates werden dann später zusammen mit bereinigten Fehlern kumulativ in einem Update der jeweils stabilen Veröffentlichung herausgegeben. Das letzte Update dieser Art war die Aktualisierung auf Debian 9.4. Ein Termin für Debian 9.5, das dann auch die gestern veröffentlichten Kernel-Updates umfasst, ist noch nicht bekannt.