Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
QEMU
Betroffene Plattformen:
Red Hat Fedora 21
Durch Ausnutzen dieser Schwachstellen kann ein im benachbarten Netzwerk
befindlicher, einfach authentisierter Benutzer, als Angreifer einen
Denial-of-Service-Zustand bewirken oder seine Privilegien auf die des
QEMU-Host-Prozesses erweitern. Für Red Hat Fedora 21 werden aktualisierte
Pakete qemu-2.1.2-6.fc21 bereitgestellt.
Patch:
Fedora Security Update FEDORA-2014-13993
https://admin.fedoraproject.org/updates/FEDORA-2014-13993/qemu-2.1.2-6.fc21
CVE-2014-7815: DoS-Schwachstelle in vnc in QEMU
Eine Schwachstelle in “vnc” in QEMU besteht in unzureichenden
“bits_per_pixel” bei der Bereinigung des Clients. Ein im benachbarten
Netzwerk befindlicher, einfach authentisierter Angreifer kann die
Schwachstelle ausnutzen, um die Verfügbarkeit des Systems komplett zu
beeinträchtigen.
CVE-2014-3689: Schwachstelle in vmware_vga in QEMU ermöglicht
Privilegieneskalation
Eine Schwachstelle in “vmware_vga” in QEMU besteht in einer unzureichenden
Parametervalidierung in “rectangle”-Funktionen. Ein im benachbarten Netzwerk
befindlicher, einfach authentisierter Angreifer kann die Schwachstelle
ausnutzen, um seine Privilegien zu erhöhen bis zu den Rechten des
QEMU-Host-Prozesses.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1428/
Fedora Security Update FEDORA-2014-13993:
https://admin.fedoraproject.org/updates/FEDORA-2014-13993/qemu-2.1.2-6.fc21
Schwachstelle CVE-2014-3689 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3689
Schwachstelle CVE-2014-7815 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7815
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
