Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

virt-who

Betroffene Plattformen:

Red Hat Fedora 21

Durch Ausnutzen dieser Schwachstelle kann ein lokaler, nicht authentisierter
Angreifer, indem er die Datei /etc/sysconfig/virt-who ausliest, an das
Passwort eines Hypervisors gelangen, wodurch abhängig vom betroffenen System
weitere Angriffe möglich werden. Für Fedora 21 wird ein Sicherheitsupdate in
Form des Pakets virt-who-0.8-11.fc21 (im Status “testing”) zur Verfügung
gestellt.

Patch:

Red Hat Bugfix Adivory RHBA-2014:1513

http://rhn.redhat.com/errata/RHBA-2014-1513.html

Patch:

Red Hat Bugfix Advisory RHBA-2014:1206

http://rhn.redhat.com/errata/RHBA-2014-1206.html

Patch:

Fedora Security Update FEDORA-2015-1632

https://admin.fedoraproject.org/updates/FEDORA-2015-1632/virt-who-0.8-11.fc21

CVE-2014-0189: Schwachstelle in virt-who erlaubt Ausspähen von Passwörtern

Eine Schwachstelle in virt-who besteht darin, dass diese allgemein lesbare
(“world-readable”) Berechtigungen verwendet für die Datei
/etc/sysconfig/virt-who.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0145/

Schwachstelle CVE-2014-0189 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0189

Red Hat Bugfix Adivory RHBA-2014:1513:
http://rhn.redhat.com/errata/RHBA-2014-1513.html

Red Hat Bugfix Advisory RHBA-2014:1206:
http://rhn.redhat.com/errata/RHBA-2014-1206.html

Fedora Security Update FEDORA-2015-1632:
https://admin.fedoraproject.org/updates/FEDORA-2015-1632/virt-who-0.8-11.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.