UPDATE: DFN-CERT-2014-1570 QEMU: Eine Schwachstelle ermöglicht verschiedene Angriffe [Linux][Fedora]

UPDATE: DFN-CERT-2014-1570 QEMU: Eine Schwachstelle ermöglicht verschiedene Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (12.12.2014):
Für Red Hat Fedora 20 wird ein neues Sicherheitsupdate in Form des
aktualisierten Pakets qemu-1.6.2-12.fc20 (im Status “testing”)
bereitgestellt. Das vorherige Update FEDORA-2014-16106, qemu-1.6.2-11.fc20
ist in den Status “obsolete” versetzt worden.
Version 1 (03.12.2014):
Neues Advisory

Betroffene Software:

QEMU <= 1.6.2 QEMU <= 2.1.2 Betroffene Plattformen: Red Hat Fedora 20 Red Hat Fedora 21 Durch Ausnutzen dieser Schwachstelle kann ein lokaler oder im benachbarten Netzwerk befindlicher, einfach authentisierter Benutzer, als Angreifer, beliebigen Programmcode mit den Rechten des Dienstes ausführen. Für Red Hat Fedora 20 und 21 werden Sicherheitsupdates zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-2014-16075 https://admin.fedoraproject.org/updates/FEDORA-2014-16075/qemu-2.1.2-7.fc21

Patch:

Fedora Security Update FEDORA-2014-16626

https://admin.fedoraproject.org/updates/FEDORA-2014-16626/qemu-1.6.2-12.fc20

CVE-2014-7840: Schwachstelle in QEMU ermöglicht die Ausführung beliebigen
Programmcodes mit den Rechten des Dienstes

Eine Schwachstelle in QEMU besteht in einer unzureichenden Parameterprüfung
beim Laden des Speichers. Durch die Manipulation der Savevm-Daten kann es
bei dem Ladevorgang zu einem Absturz des QEMU-Prozesses kommen oder es wird
beliebiger Programmcode mit den Rechten des Prozesses ausgeführt. Ein
lokaler oder im benachbarten Netzwerk befindlicher, authentisierter
Benutzer, als Angreifer, kann diese Schwachstelle ausnutzen, um beliebigen
Programmcode mit den Rechten des QEMU-Prozesses auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1570/

Fedora Security Update FEDORA-2014-16075:
https://admin.fedoraproject.org/updates/FEDORA-2014-16075/qemu-2.1.2-7.fc21

Schwachstelle CVE-2014-7840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7840

Fedora Security Update FEDORA-2014-16626:
https://admin.fedoraproject.org/updates/FEDORA-2014-16626/qemu-1.6.2-12.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben