Sequoia Sicherheitsluecke (Linux kernel, systemd)

Daniel Baumann daniel.baumann at bfh.ch
Thu Jul 22 05:45:17 CEST 2021


Hallo zusammen

In der Nacht von Dienstag auf Mittwoch wurden zwei Sicherheitsluecken
bekannt:

  * CVE-2021-33909 Linux kernel: implizite Konversion eines 64bit size_t
    Werts in einen signed Integer im VFS kann mit einem Bufferoverflow
    dazu benutzt werden, beliebigen Code als root auszufuehren.

  * CVE-2021-33910 systemd: Stackoverflow fuehrt zum Beenden von systemd
    als PID1 und damit Crash des gesamten Systems.

Die beste Zusammenfassung findet sich hier:

  * Linux Weekly News (English):
    https://lwn.net/Articles/863729/

  ( fuer non-subscribers die nicht 14d warten wollen, siehe:
    https://lwn.net/SubscriberLink/863729/b19f8287de392d53/ )

Alternativ dazu, aber nur oberflaechlich:

  * Heise (Deutsch):

https://www.heise.de/news/Root-Kernel-Luecke-bedroht-viele-Linux-Distributionen-6144023.html


Da praktisch alle unsere Systeme von Nutzenden mit Login verwendet
werden koennen, sind wir natuerlich unmittelbar und vollstaendig von
beiden Luecken direkt betroffen.

Wir haben daher Mittwoch Morgen startend ab 4 Uhr aktualisierte Kernel
und systemd Pakete fuer alle eingesetzten Distributionen (buster,
buster-backports, bullseye, bullseye-backports) und Architekturen
(amd64, i386, armel, armhf, arm64) gebaut und ab 6 Uhr alle unsere
Systeme aktualisiert.

Es sind keine non-legacy Systeme mehr verwundbar, d.h. wir koennen
weiterhin fuer alle Debian 8 und aeltere Systeme[0] welche keine
Security-Updates mehr erhalten, weder Sicherheit und ordnungsgemaesses
Funktionieren/Betrieb gewaehrleisten. Wir werden in den naechsten Tagen
pruefen, ob wir die Abschaltung/Ersatz dieser Uraltsysteme weiter
beschleunigen koennen.

Gruesse,
Daniel

[0] https://bfh.science/team/inventory/linux-legacy/

-- 
Berner Fachhochschule / Bern University of Applied Sciences
Services / IT-Services
Daniel Baumann
Teamleiter Linux & Infrastructure Services
___________________________________________________________
Dammweg 3, CH-3013 Bern
Telefon direkt +41 31 848 48 22
Telefon Servicedesk +41 31 848 48 48
daniel.baumann at bfh.ch
https://bfh.ch
https://bfh.science


More information about the bfh-linux-announce mailing list