Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
20.09.2019, 10:39:14

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 22565
  • Letzte: huste511
Statistiken
  • Beiträge insgesamt: 608707
  • Themen insgesamt: 49279
  • Heute online: 529
  • Am meisten online: 992
  • (17.11.2018, 20:17:55)
Benutzer Online

Autor Thema:  BSI-Sicherheitsmeldungen zu Linux-Kernel  (Gelesen 2111 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

BSI-Sicherheitsmeldungen zu Linux-Kernel
« am: 23.12.2016, 11:20:02 »
Hallo,

kann jemand beurteilen, ob die Meldungen unter "CERT-Bund Meldungen" wirklich nur SUSE-Linux betreffen oder auch Linux Mint?

https://www.bsi.bund.de/DE/Service/Aktuell/aktuelles_node.html;jsessionid=E1C582DB5C4A021E0F9C54067076E245.2_cid091

Gruß
Mintstefan


Re: BSI-Sicherheitsmeldungen zu Linux-Kernel
« Antwort #1 am: 23.12.2016, 11:29:28 »
Die betreffen auch Linux Mint.
Für 2/3 sind bzw waren Updates schon verfügbar (in den letzten Wochen).
Für CVE-2016-9555 steht ein Fix für Ubuntu 14.04 (Mint 17) noch aus.

Re: BSI-Sicherheitsmeldungen zu Linux-Kernel
« Antwort #2 am: 23.12.2016, 11:31:05 »
Denial-of-Service-Angriff = Absichtlich herbeigeführte Serverüberlastungen

Hat hier jemand 'n Server mit Suse-Enterprise (kommerzielle Distri)?

Mint wird nicht betroffen gefährdet sein.
« Letzte Änderung: 23.12.2016, 11:34:34 von Nessie »

Re: BSI-Sicherheitsmeldungen zu Linux-Kernel
« Antwort #3 am: 23.12.2016, 11:50:18 »
Prinzipiell sind alle Kernel kleiner als 4.8.8 betroffen aber sowohl Wahrscheinlichkeit eines Angriff als auch Effekt von CVE-2016-9555 für sich alleine, sind gerade für Desktopnutzer wohl beinahe vernachlässigbar.

Re: BSI-Sicherheitsmeldungen zu Linux-Kernel
« Antwort #4 am: 23.12.2016, 12:25:24 »
Für LM 18.x siehe:
https://people.canonical.com/~ubuntu-security/cve/pkg/linux.html  (Spalte 'xenial', Kernel 4.4)
CVE-2016-9555,  CVE-2016-8655 :   released  (Fix)
Updated: 2016-12-22
« Letzte Änderung: 23.12.2016, 12:35:08 von aexe »

Re: BSI-Sicherheitsmeldungen zu Linux-Kernel
« Antwort #5 am: 23.12.2016, 13:09:30 »
Wer seinen Kernel Up2date hält dürfte schon das Loch mit Kernel Version 4.4.0-57 gestopft haben?

Re: BSI-Sicherheitsmeldungen zu Linux-Kernel
« Antwort #6 am: 23.12.2016, 13:17:32 »
Ich denke, zumindest die Schwachstellen, von denen hier die Rede ist, wurden damit beseitigt.
Ebenso beim neuesten 4.8er Kernel.
Beim allerneuesten Kernel (zesty) ist es aber offenbar noch nicht endgültig passiert.
Also up2date ist nicht so einfach an der Höhe der Versions-Zahlen festzumachen.
« Letzte Änderung: 23.12.2016, 13:33:21 von aexe »

Re: BSI-Sicherheitsmeldungen zu Linux-Kernel
« Antwort #7 am: 23.12.2016, 14:10:26 »
Interessant dass man von CVE-2016-7117 kaum was gehört hat, wurde da mal wieder geheimhalten gespielt?  ::) Kann mich auch nicht an eine Diskussion oder Antrag auf CVEs in einer öffentlichen Mailing Liste erinnern.

CVSS v3 Base Score: 9.8 /10.0 Critical
CVSS v2 Base Score: 10.0/10.0 HIGH
Access Vector: Network exploitable
Access Complexity: Low
Authentication: Not required to exploit

Ich guck es mir dann mal an. Aber der Ubuntu CVE Tracker sagt 'released' für 16.04 (Kernel 4.4.0-22.39) und 14.04 (Kernel 3.13.0-86.130)

Zu CVE-2016-8655 hab ich einen Thread erstellt und auch mal ein Demo-Video hoch geladen, das sollte aber schon länger behoben sein.
https://www.linuxmintusers.de/index.php?topic=38794.0

CVE-2016-9555 ist das Denial of Service Ding, wie oben erwähnt jetzt nicht so tragisch für uns.




Re: BSI-Sicherheitsmeldungen zu Linux-Kernel
« Antwort #8 am: 23.12.2016, 17:09:24 »
Interessant dass man von CVE-2016-7117 kaum was gehört hat [...]
Ich guck es mir dann mal an. Aber der Ubuntu CVE Tracker sagt 'released' für 16.04 (Kernel 4.4.0-22.39) und 14.04 (Kernel 3.13.0-86.130)
Hab ich jetzt auch gemacht. Ich kann ohne Gewähr aber nach bestem Wissen und Gewissen allerdings sagen dass ich die Einschätzungen die so klingen:
Zitat
Access Vector: Network exploitable
Access Complexity: Low
oder
Zitat
Zwei Schwachstellen im Linux-Kernel ermöglichen einem entfernten, nicht authentifizierten Angreifer die komplette Systemübernahme.
oder
Zitat
Remote code execution vulnerability in kernel networking subsystem
nicht teilen kann. CVE-2016-7117 scheint mir 'remote' kaum ausnutzbar zu sein, definitiv aber nicht gegen beliebige Systeme. Wenn man einen (beliebigen, unprivilegierten) Prozess auf dem Zielsystem kontrolliert kann es lokal zu einer Erhöhung der Rechte verwendet werden. Die Beschreibungen erscheinen mir in dem Fall tatsächlich etwas 'übertrieben' bzw vermutlich streng nach Muster beurteilt. Ich versteh aber auch nicht wie sie dazu kommen:
Zitat
Die kritischen Schwachstellen CVE-2015-3288 und CVE-2016-7117 betreffen nur Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und OMAP4

Wurde Ubuntu 16.04 nie mit einem Kernel kleiner als  4.4.8 ausgeliefert? Oder wird davon ausgegangen dass jeder mittlerweile einen neueren hat? keine Ahnung.

Mehr als fragwürdig ist allerdings mal wieder die Offenlegungs-Politik und die timeline.
Es handelt sich eindeutig um diesen Commit, upstream übernommen im März 2016: https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=34b88a68f26a75e4fded796f1a49c40f82234b7d
Dass das vermutlich Sicherheitsimplikationen hat ist eig offensichtlich.
Eine CVE wurde im August zugeteilt.
Android hat es als Sicherheitslücke im Oktober angekündigt. http://source.android.com/security/bulletin/2016-10-01.html
Die Ubuntu Security Notice erschien am 11ten November.
Auf lwn hab ich einen Hinweise vom 26. Oktober gefunden, geupdated am 22. Dezember.
Das macht irgendwie 0 Sinn, wann hat man das als Sicherheitslücke erkannt, wann gab es ein Embargo, wann hatte man vor das deutlich erkennbar anzukündigen? Planlosigkeit auch in den Mailing-Listen der Distros. Geschweige denn dass das übersichtlich für den Endnutzer oder einen Systemadministrator wäre  ::)



Re: BSI-Sicherheitsmeldungen zu Linux-Kernel
« Antwort #9 am: 26.12.2016, 11:13:27 »
Moin und frohe Weihnachten.

Auf meinem älteren PC der noch kein UEFI hat läuft der neuste Kernel 4.8.y.xx ohne Probleme. Auf einem neueren Rechner mit UEFI läuft der ältere Kernel 4.4.y.xx jeweils mit der neusten Ausgabe.

Denke mal das in beiden schon die Lösung enthalten ist, bzw. der Systembefall sich in Grenzen hält. Hacker haben es bei Linux Architekturen nach wie vor schwerer als bei anderen Systemen.

Schönen Feiertag noch.

Frank