Meerdere kwetsbaarheden verholpen in Ubuntu kernel

Er zijn meerdere kwetsbaarheden gevonden in de Ubuntu kernel. Ubuntu heeft updates uitgebracht om de kwetsbaarheden te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Meerdere kwetsbaarheden verholpen in Ubuntu kernel
Advisory ID     : NCSC-2017-0150
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2016-10088, CVE-2016-7910, CVE-2016-7911,
                  CVE-2016-9191, CVE-2016-9588, CVE-2017-2583,
                  CVE-2017-2584, CVE-2017-5549, CVE-2017-6074
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Toegang tot gevoelige gegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20170222
Toepassing      : kernel
Versie(s)       : 
Platform(s)     : Ubuntu

Samenvatting
   Er zijn meerdere kwetsbaarheden gevonden in de Ubuntu kernel. Ubuntu
   heeft updates uitgebracht om de kwetsbaarheden te verhelpen.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om een
   Denial-of-Service uit te voeren, om zich verhoogde gebruikersrechten
   te verschaffen of om gevoelige informatie te bemachtigen.

Beschrijving
   - CVE-2016-7910
   Een use-after-free-kwetsbaarheid in de Linux kernel stelt een
   kwaadwillende in staat zich verhoogde rechten te verschaffen op het
   systeem door gebruik te maken van een specifieke stop-operatie
   indien de bijbehorende start-operatie is mislukt.
   
   - CVE-2016-7911
   Een race-conditie in de get_task_ioprio-functie in de Linux kernel
   stelt een kwaadwillende in staat zich verhoogde rechten te
   verschaffen op het systeem of een Denial-of-Service te veroorzaken.
   
   - CVE-2016-9191
   Er bevindt zich een kwetsbaarheid in de Linux kernel. Een lokale
   kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om een
   Denial-of-Service-aanval uit te voeren via een malafide applicatie.
   
   - CVE-2016-9588
   Een kwetsbaarheid in de Linux kernel stelt een kwaadwillende in een
   guestsysteem in staat om een Denial-of-Service uit te voeren op het
   guestsysteem.
   
   - CVE-2017-2583
   Er bevindt zich een kwetsbaarheid in de Linux kernel, wanneer deze
   over Kernel-based Virtual Machine (CONFIG_KVM)-ondersteuning
   beschikt. Door misbruik te maken van een onjuiste segment
   selector(SS)-waarde kan een kwaadwillende zich mogelijk verhoogde
   gebruikersrechten verschaffen in een guestsysteem, of een
   Denial-of-Service uitvoeren op het guestsysteem.
   
   - CVE-2017-2584
   Een kwetsbaarheid in de kernel stelt een kwaadwillende in staat
   gevoelige informatie te ontfutselen uit het geheugen of een
   Denial-of-Service te veroorzaken op de kernel via een speciaal
   geprepareerde applicatie.
   
   - CVE-2017-5549
   Een lokale kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om
   gevoelige informatie te bemachtigen uit de log-bestanden.
   
   - CVE-2017-6074
   Een lokale kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om
   een Denial-of-Service te veroorzaken middels een malafide
   applicatie. Deze applicatie moet gebruik maken van een
   IPV6_RECVPKTINFO setsockopt-system-call.
   
   - CVE-2016-10088
   Een kwetsbaarheid in de Linux kernel stelt een kwaadwillende in
   staat willekeurige stukken geheugen te lezen of schrijven en kan
   mogelijk leiden tot een Denial-of-Service van de kernel.
   
   Deze kwetsbaarheid doet zich voor door een incomplete fix voor
   CVE-2016-9576.

Mogelijke oplossingen
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 12.04 LTS,
   14.04 LTS, 16.04 LTS, 16.10 om de kwetsbaarheden te verhelpen. U
   kunt de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden
   op onderstaande pagina:
   
   Ubuntu 12.04 LTS - CVE-2016-7910, CVE-2016-7911, CVE-2017-6074:
   https://www.ubuntu.com/usn/usn-3206-1/
   
   Ubuntu 14.04 LTS - CVE-2016-7910, CVE-2016-7911, CVE-2017-6074:
   https://www.ubuntu.com/usn/usn-3207-1/
   
   Ubuntu 12.04 LTS (HWE) - CVE-2016-7910, CVE-2016-7911,
   CVE-2017-6074:
   https://www.ubuntu.com/usn/usn-3207-2/
   
   Ubuntu 16.04 LTS -  CVE-2016-10088, CVE-2016-9191, CVE-2016-9588,
   CVE-2017-2583, CVE-2017-2584, CVE-2017-5549, CVE-2017-6074:
   https://www.ubuntu.com/usn/usn-3208-1/
   
   Ubuntu 14.04 LTS (HWE) -  CVE-2016-10088, CVE-2016-9191,
   CVE-2016-9588, CVE-2017-2583, CVE-2017-2584, CVE-2017-5549,
   CVE-2017-6074:
   https://www.ubuntu.com/usn/usn-3208-2/
   
   Ubuntu 16.10 - CVE-2016-10088, CVE-2016-9588, CVE-2017-6074:
   https://www.ubuntu.com/usn/usn-3209-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=UUQi
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig