Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
QEMU
Betroffene Plattformen:
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.10
Mehrere Schwachstellen in QEMU ermöglichen einem einfach authentifizierten
Angreifer aus dem benachbarten Netzwerk eine Privilegieneskalation, das
Durchführen von Denial-of-Service-Angriffen, das Ausspähen von
Informationen, das Ausführen beliebigen Programmcodes mit den Rechten des
Dienstes und weitere Angriffe. Ein nicht authentifizierter Angreifer aus dem
benachbarten Netzwerk kann darüber hinaus zwei weitere Schwachstellen für
Denial-of-Service-Angriffe nutzen.
Canonical stellt Sicherheitsupdates für die Distributionen Ubuntu 12.04 LTS,
Ubuntu 14.04 LTS und Ubuntu 15.10 bereit. Canonical weist darauf hin, dass
nach dem Systemupdate auch die virtuellen Maschinen neu gestartet werden
müssen, damit die Veränderungen aktiv werden.
Die Schwachstellen CVE-2015-7549, CVE-2015-8567, CVE-2015-8568,
CVE-2015-8613, CVE-2015-8619, CVE-2016-1922, CVE-2015-8666, CVE-2015-8744,
CVE-2015-8745 und CVE-2016-2198 sind nur für die Distributionen 14.04 LTS
und 15.10 relevant sind. Die Schwachstelle CVE-2016-2197 betrifft nur die
Distribution 15.10.
Patch:
Ubuntu Security Notice USN-2891-1
http://www.ubuntu.com/usn/usn-2891-1/
CVE-2016-2198: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Die ‘Enhanced Host Controller Interface’-Emulation (EHCI) für USB in QEMU
unterstützt die Speicheradressierung über Capability-Register. Die
‘.write’-Funktion des Emulators ist nicht implementiert, aber für die
Unterstützung der Capability-Register notwendig, was zu einer
Null-Zeiger-Dereferenzierung führt. Ein einfach authentifizierter Angreifer
aus dem benachbarten Netzwerk kann einen Denial-of-Service-Angriff
ausführen.
CVE-2016-2197: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Falls QEMU mit Unterstützung der Emulation von IDE AHCI erstellt wurde, kann
die Verwendung der Frame Information Structures (FIS) Engine für den
Datentransfer zu einer Null-Zeiger-Dereferenzierung führen. Die
eingeblendete FIS-Puffer-Adresse wird dann in einem statischen
‘bounce.buffer’ gespeichert. Eine Anfrage zur Einblendung einer anderen
Speicherregion führt zur Antwort ‘NULL’ durch die Funktion
‘address_space_map’, da ‘bounce.buffer’ bereits verwendet wird. Während der
Ausführung von ‘dma_memory_unmap’ kommt es dann zur
Null-Zeiger-Dereferenzierung. Ein einfach authentifizierter Angreifer aus
dem benachbarten Netzwerk kann so einen Denial-of-Service-Angriff ausführen.
CVE-2016-1981: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Wenn QEMU mit Unterstützung für die Emulation des E1000 Network Interface
(NIC) erstellt wurde, kann es während der Verarbeitung von Transmit- oder
Receive-Deskriptoren zu einer Endlosschleife kommen. Dazu müssen die
Kopfdaten des ersten Transmit- oder Receive-Deskriptors außerhalb des
zugewiesenen Deskriptorpuffers liegen, damit die Abbruchbedingung für die
Erkennung fehlerhafter Transferdaten nicht auslöst. Ein einfach
authentifizierter Angreifer aus dem benachbarten Netzwerk kann so einen
Denial-of-Service-Angriff ausführen.
CVE-2015-8619: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Falls QEMU mit Unterstützung für das Human Monitor Interface (HMP) erstellt
wurde, besteht eine Schwachstelle in der Behandlung von ‘sendkey’-Befehlen
in der Funktion ‘hmp_sendkey’. Falls das Befehlsargument länger ist, als der
zur Verfügung stehende ‘keyname_buf’-Puffer aufnehmen kann, wird in
Speicherbereiche außerhalb des zugewiesenen Speichers geschrieben. Ein nicht
authentifizierter Angreifer aus dem benachbarten Netzwerk kann einen
Denial-of-Service-Angriff ausführen.
CVE-2016-1714: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
und Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Wenn QEMU mit Unterstützung für die ‘Firmware Configuration Device
Emulation’ erstellt wurde, kann es zu Lese- und Schreibzugriffen außerhalb
von zugewiesenem Speicher (Out-Of-Bounds, OOB) kommen. Dieses Fehlverhalten
tritt während der Verarbeitung von Firmware-Konfigurationen auf, falls der
Wert des aktuellen Konfigurationseintrags auf ungültig gesetzt wurde
(‘FW_CFG_INVALID=0xffff’).
Ein einfach authentifizierter Angreifer als Gast mit
‘CAP_SYS_RAWIO’-Privilegien aus dem benachbarten Netzwerk kann dadurch auf
nicht zugewiesenen Speicher zugreifen und einen Denial-of-Service-Angriff
durchführen sowie möglicherweise beliebigen Programmcode mit den Rechten des
Dienstes ausführen.
CVE-2016-1922: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Falls QEMU mit Unterstützung von Task-Priority-Register-Optimierung
(TPR-Optimierung) in 32-Bit-Windows-Gastsystemen erstellt wurde, besteht bei
Eingabe/Ausgabe-Schreibzugriffen von Host-Media-Processing-Schnittstellen
(HMP Interfaces) die Möglichkeit einer Null-Zeiger-Dereferenzierung, da
‘current_cpu’ nicht von ‘cpu_exec()’ aufgerufen wird und NULL bleibt. Ein
nicht authentifizierter Angreifer aus dem benachbarten Netzwerk kann dadurch
einen Denial-of-Service-Angriff ausführen.
CVE-2016-1568: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
und Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Falls QEMU mit Unterstützung der Emulation von IDE AHCI erstellt wurde,
besteht durch die Verarbeitung von Native-Command-Queuing-Befehlen
(NCQ-Befehlen) eine Schwachstelle. Ist der verarbeitete NCQ-Befehl ungültig,
wird das ‘aiocb’-Objekt nicht zugewiesen, aber das ‘NCQ transfer object’
trotzdem als benutzt (‘used’) markiert. Über die Funktion
‘bdrv_aio_cancel_async’ mit ‘ahci_reset_port’ führt das zum Zugriff auf
bereits freigegebene Speicherbereiche (Use-after-free). Ein einfach
authentifizierter Angreifer aus dem benachbarten Netzwerk kann dadurch auf
nicht zugewiesenen Speicher zugreifen und einen Denial-of-Service-Angriff
durchführen sowie möglicherweise beliebigen Programmcode mit den Rechten des
Dienstes ausführen.
CVE-2015-8613: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Falls QEMU mit Unterstützung der Emulation des SCSI MegaRAID SAS
Host-Adapters erstellt wurde, besteht die Möglichkeit eines Pufferüberlaufs
während der Verarbeitung des ‘CTRL_GET_INFO’-Befehls des SCSI-Controllers.
Ein einfach authentifizierter Angreifer aus dem benachbarten Netzwerk kann
dadurch einen Denial-of-Service-Angriff ausführen.
CVE-2015-8743: Schwachstelle in QEMU ermöglicht Ausspähen von Informationen
und weitere Angriffe
Es existiert eine Schwachstelle in QEMU, falls eine Laufwerksemulation für
NE2000-Geräte eingerichtet wurde. Es ist dann möglich, einen
Lese-/Schreib-Speicherzugriff außerhalb des gültigen Bereiches
(Out-of-Bounds) zu erhalten. Ein einfach authentifizierter Angreifer im
benachbarten Netzwerk kann Informationen ausspähen sowie QEMU Speicher
korrumpieren und in der Folge weitere Angriffe ausführen.
CVE-2015-8568: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
In QEMU Emulatoren, die mit VMWARE VMXNET3 para-virtueller NIC Emulator
Unterstützung gebaut sind, existiert eine Speicherleck-Schwachstelle, welche
dann auftritt, wenn Gäste wiederholt versuchen das VMXNET3 Gerät zu
aktivieren. Ein privilegierter Gastbenutzer im benachbarten Netzwerk, als
Angreifer, kann diese Schwachstelle ausnutzen, um ein Aufzehren des
Speichers des Hosts zur verursachen, wodurch ein Denial-of-Service
(DoS)-Zustand für den Host herbeigeführt wird.
CVE-2015-8567: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
In QEMU Emulatoren, die mit VMWARE VMXNET3 para-virtueller NIC Emulator
Unterstützung gebaut sind, existiert eine Speicherleck-Schwachstelle, welche
dann auftritt, wenn Gäste wiederholt versuchen das VMXNET3 Gerät zu
aktivieren. Ein einfach authentifizierter Angreifer im benachbarten Netzwerk
kann diese Schwachstelle ausnutzen, um ein Aufzehren des Speichers des Hosts
zur verursachen, wodurch ein Denial-of-Service (DoS)-Zustand für den Host
herbeigeführt wird.
CVE-2015-8745: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Es existiert eine nicht näher beschriebene Schwachstelle in QEMU, wenn der
Netzwerkadapter VMware VMXNET 3 verwendet wird und Interrupt Mask Register
(IMR) ausgelesen werden. Ein einfach authentifizierter Angreifer im
benachbarten Netzwerk als Benutzer eines Gastsystems mit bestimmten
Privilegien (CAP_SYS_RAWIO) kann einen Denial-of-Service-Angriff ausführen.
CVE-2015-8744: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Es existiert eine Schwachstelle in QEMU, wenn der Netzwerkadapter VMware
VMXNET 3 verwendet wird. Sendet ein Gast Layer-2 Pakete mit einer Größe
kleiner als 22 Byte, führt das zu einem Denial-of-Service des QEMU
Prozesses, da die Header-Länge in ‘vmxnet_tx_pkt_parse_headers’ nicht
ausreichend geprüft wird. Ein einfach authentifizierter Angreifer im
benachbarten Netzwerk als Benutzer eines Gastsystems mit bestimmten
Privilegien (CAP_SYS_RAWIO) kann einen Denial-of-Service-Angriff ausführen.
CVE-2015-8666: Schwachstelle im Q35-Chipsatz-Emulator von QEMU ermöglicht
Denial-of-Service-Angriff
Es existiert eine Schwachstelle in QEMU, wenn der Q35-Chipsatz-Emulator
verwendet wird. Während der Verschiebung eines Gastsystems werden bei einem
Aufruf von ‘acpi_gpe_init()’ mit der Länge ‘ICH9_PMIO_GPE0_LEN’ nur
ICH9_PMIO_GPE0_LEN/2 statt der benötigten ICH9_PMIO_GPE0_LEN Bytes alloziert
und dennoch ICH9_PMIO_GPE0_LEN Bytes geschrieben. Dies kann zu einem
Pufferüberlauf und in der Folge zu einem Denial-of-Service führen. Ein
einfach authentifizierter Angreifer im benachbarten Netzwerk als Benutzer
eines Gastsystems mit bestimmten Privilegien kann über ‘acpi_gpe_init()’
einen Denial-of-Service-Angriff ausführen.
CVE-2015-8558: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Es existiert eine Schwachstelle in QEMU mit USB EHCI Unterstützung. Die
Kommunikation zwischen Host-Controller-Interface (EHCI) und Gerätetreiber
erfolgt über die Liste mit den Deskriptoren für den isochronen Transfer.
Falls sich in dieser Liste eine geschlossene Schleife befindet, führt dies
zu einer Endlosschleife. Ein einfach authentifizierter Angreifer im
benachbarten Netzwerk als Benutzer eines Gastsystems kann einen
Denial-of-Service-Angriff auf das Host-System ausführen.
CVE-2015-7549: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
Es existiert eine Schwachstelle in QEMU mit PCI MSI-X Unterstützung. Die
‘.write’-Funktion ist im Memory Mapped I/O nicht implementiert, so dass ein
Aufruf von ‘qpci_msix_pending()’ zu einer NULL-Zeiger-Dereferenzierung führt
und die Ausnahmebedingung SIGSEGV auslöst. Ein einfach authentifizierter
Angreifer im benachbarten Netzwerk als Benutzer eines Gastsystems mit
bestimmten Privilegien kann über ‘qpci_msix_pending()’ einen
Denial-of-Service-Angriff ausführen.
CVE-2015-8550: Schwachstelle in Xen ermöglicht Privilegieneskalation
Eine Schwachstelle in Xen basiert auf Compiler-Optimierungen in den PV
Backend-Treibern, wodurch es zu doppeltem Auslesen von zwischen Frontend und
Backend geteiltem Speicher kommen kann. Dies kann zum Ausführen beliebigen
Programmcodes im Backend ausgenutzt werden. Ein einfach authentisierter
Angreifer im benachbarten Netzwerk als Administrator eines Gastsystems kann
einen Denial-of-Service-Angriff durchführen. Wenn keine Treiber-Domänen
benutzt werden, ist der Absturz des Host-Systems die Folge oder eine
Privilegieneskalation.
CVE-2015-8504: Schwachstelle in QEMU erlaubt Denial-of-Service-Angriff
Im QEMU-Emulator mit VNC Display Driver Support existiert eine Schwachstelle
bei der VNC-serverseitigen Verarbeitung von ‘SetPixelFormat’-Nachrichten
eines Clients. Dabei kann es zu einer Floating-Point-Exception kommen,
wodurch der Gast zum Absturz gebracht werden kann. Ein entfernter, einfach
authentisierter Benutzer, als Angreifer, kann diese Schwachstelle ausnutzen,
um einen Denial-of-Service (DoS)-Angriff durchzuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0201/
Schwachstelle CVE-2015-8504 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8504
Schwachstelle CVE-2015-7549 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7549
Schwachstelle CVE-2015-8558 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8558
Schwachstelle CVE-2015-8567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8567
Schwachstelle CVE-2015-8568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8568
Schwachstelle CVE-2015-8550 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8550
Schwachstelle CVE-2015-8613 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8613
Schwachstelle CVE-2015-8619 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8619
Schwachstelle CVE-2015-8666 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8666
Schwachstelle CVE-2015-8743 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8743
Schwachstelle CVE-2015-8744 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8744
Schwachstelle CVE-2015-8745 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8745
Schwachstelle CVE-2016-1568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1568
Schwachstelle CVE-2016-1714 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1714
Schwachstelle CVE-2016-1922 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1922
Schwachstelle CVE-2016-1981 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1981
Schwachstelle CVE-2016-2197 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2197
Schwachstelle CVE-2016-2198 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2198
Ubuntu Security Notice USN-2891-1:
http://www.ubuntu.com/usn/usn-2891-1/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
