DFN-CERT-2016-0771 QEMU, QEMU-KVM: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes [Linux]

DFN-CERT-2016-0771 QEMU, QEMU-KVM: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

QEMU

Betroffene Plattformen:

Canonical Ubuntu Linux 12.04 LTS
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 15.10
Canonical Ubuntu Linux 16.04 LTS

Mehrere Schwachstellen in QEMU und QEMU-KVM ermöglichen einem auch nicht
authentifizierten Angreifer im benachbarten Netzwerk verschiedene
Denial-of-Service-Angriffe und das Ausspähen von Informationen. Ein einfach
authentifizierter Angreifer im benachbarten Netzwerk kann darüber hinaus
beliebigen Programmcode mit den Rechten des QEMU-Dienstes auf dem Hostsystem
ausführen.

Canonical stellt für Ubuntu 12.04 LTS, 14.04 LTS, 15.10 und 16.04 LTS
Sicherheitsupdates für die Pakete ‘qemu’ und ‘qemu-kvm’ bereit, die die
Schwachstellen beheben. Ubuntu 12.04 LTS ist von CVE-2016-2858 (DoS) und
CVE-2016-4020 (Ausspähen von Informationen) nicht betroffen.

Patch:

Ubuntu Security Notice USN-2974-1

http://www.ubuntu.com/usn/usn-2974-1/

CVE-2016-4020: Schwachstelle in QEMU ermöglicht Ausspähen von Informationen

In QEMU besteht eine Schwachstelle in kvmvapic.c, da das Task Priority
Register nicht korrekt abgearbeitet wird. Ein nicht authentifizierter
Angreifer im benachbarten Netzwerk kann dadurch ein Speicherleck verursachen
und Informationen ausspähen.

CVE-2016-3712: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Das VGA-Modul von QEMU erlaubt Gastnutzern die Änderung bestimmter Register
im VBE- und VGA-Modus. Dadurch kann ein einfach authentifizierter Angreifer
im benachbarten Netzwerk bestimmte VGA-Register im VBE-Modus setzen und
einen Ganzzahlüberlauf oder Zugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs erzeugen und so einen Denial-of-Service-Zustand des
Gastsystems auslösen.

CVE-2016-3710: Schwachstelle in QEMU ermöglicht Ausführung beliebigen
Programmcodes mit den Rechten des Dienstes

Das VGA-Modul von QEMU ermöglicht Zugriff auf Videospeicher über das Fenster
an der Adresse ‘0xa00000’ auf verschiedene Weisen mit unterschiedlichen
Adressberechnungen. Ein einfach authentifizierter Angreifer im benachbarten
Netzwerk (als Benutzer eines Gastsystems) kann Speicher über das
Speicherfenster des VGA-Moduls hinaus beschreiben und dadurch beliebigen
Programmcode mit den Rechten des QEMU-Dienstes auf dem Hostsystem ausführen.

CVE-2016-4037: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle im QEMU-Emulator mit USB EHCI Emulation Support führt zu
einer Endlosschleife (‘infinite loop’) während der Kommunikation zwischen
dem Host-Controller Interface (EHCI) und einem entsprechenden Gerätetreiber
(‘device driver’). Diese beiden kommunizieren über eine geteilte isochrone
Transfer Descriptor Liste (siTD) und eine Endlosschleife tritt auf, wenn
sich in dieser Liste eine geschlossene Schleife (‘closed loop’) befindet.
Ein privilegierter Benutzer eines Gastsystems kann diese Schwachstelle
ausnutzen, um exzessiv CPU-Zyklen und Ressourcen auf dem Host zu
verbrauchen. Das Problem ist ähnlich zu CVE-2015-8558, allerdings unter
Verwendung von siTD statt iTD. Ein einfach authentisierter Angreifer im
benachbarten Netzwerk kann einen Denial-of-Service (DoS)-Angriff
durchführen.

CVE-2016-4002: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle im QEMU Emulator mit MIPSnet Controller Emulator führt zu
einem Pufferüberlauf (‘buffer overflow’). Dieser tritt auf während
Netzwerkpakete in der Funktion mipsnet_receive() empfangen werden, wenn für
den Gast NIC konfiguriert ist, um große (MTU) Pakete zu akzeptieren. Ein
entfernter, einfach authentisierter Benutzer oder Prozess kann diese
Schwachstelle ausnutzen, um den QEMU-Prozess auf dem Host zum Absturz zu
bringen und somit einen Denial-of-Service (DoS)-Zustand herbeiführen, oder
möglicherweise beliebigen Programmcode mit den Rechten des QEMU-Prozesses
auf dem Host zur Ausführung bringen.

CVE-2016-4001: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle im QEMU Emulator mit Luminary Micro Stellaris Ethernet
Controller führt zu einem Pufferüberlauf (‘buffer overflow’). Dieser tritt
auf, während Netzwerkpakete in der Funktion stellaris_enet_receive()
empfangen werden, wenn für den Gast NIC konfiguriert ist, um große (MTU)
Pakete zu akzeptieren. Ein entfernter, einfach authentisierter Benutzer oder
Prozess kann diese Schwachstelle ausnutzen, um den QEMU-Prozess auf dem Host
zum Absturz zu bringen und somit einen Denial-of-Service (DoS)-Zustand
herbeiführen.

CVE-2016-2858: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle im QEMU Emulator, wenn der Unterbau
(Back-end) des Pseudo Random Number Generator (PRNG) unterstützt wird. Es
wird dann nur eine Anfrage zur Zeit bearbeitet und, mit Ausnahme der zuletzt
angeforderten Anfrage, werden alle Anfragen ignoriert. Dies führt unter
anderem dazu, dass Lesezugriffe auf VirtIO RNG erst dann abgeschlossen
werden, wenn ein neuer Lesezugriff angefordert wird. Ein nicht
authentifizierter Angreifer im benachbarten Netzwerk kann dadurch einen
Denial-of-Service-Angriff (DoS-Angriff) auf den QEMU-Prozess durchführen.

CVE-2016-2857: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle, wenn der QEMU Emulator mit ‘IP
checksum’-Routinen erstellt wurde. Die Funktion zur Berechnung der Prüfsumme
für TCP/UDP-Pakete verwendet die Länge der Nutzdaten (Payload Length) ohne
zu prüfen, ob der Datenpuffer für diese Datenmenge ausreicht. Ein nicht
authentifizierter Angreifer im benachbarten Netzwerk kann auf die
überschüssigen Daten zugreifen und einen Denial-of-Service-Angriff
(DoS-Angriff) gegen den QEMU Prozess ausführen.

CVE-2016-2841: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Die NE2000 Network Interface Controller (NIC) Emulation von QEMU verwendet
die Register ‘PSTART’ und ‘PSTOP’ zur Definition von Größe und Ort eines
Ringspeichers, in dem Netzwerkpakete verarbeitet werden. Falls diese
Register ungültige Werte enthalten, kann es zu einer Endlosschleife oder zum
Lese- und Schreibzugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs kommen (Out-of-bounds Read/Write). Ein einfach
authentifizierter Angreifer im benachbarten Netzwerk kann dadurch einen
Denial-of-Service (DoS)-Angriff durchführen.

CVE-2016-2538: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in QEMU mit Unterstützung der Emulation von
USB Netzwerk-Geräten. Bei der Verarbeitung von Paketen aus
NDIS-Kontrollnachrichten (NDIS control message packets) kann es zu einem
Ganzzahlüberlauf (Integer Overflow) kommen, wenn eine Kombination aus den
Attributen ‘informationBufferOffset’ und ‘Length’ den von Integer-Variablen
abgedeckten Zahlenraum übersteigt. Ein einfach authentifizierter Angreifer
im benachbarten Netzwerk kann dadurch ein Speicherleck verursachen und einen
Denial-of-Service-Angriff auf den QEMU-Prozess durchführen.

CVE-2016-2392: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in QEMU mit Unterstützung der Emulation von
USB Netzwerk-Geräten. Falls das Objekt, das die USB Konfiguration beschreibt
(USB configuration descriptor object), NULL ist, kann es bei der
Verarbeitung von Paketen aus NDIS-Kontrollnachrichten (NDIS control message
packets) zu einer NULL-Zeiger-Dereferenzierung kommen. Ein einfach
authentifizierter Angreifer im benachbarten Netzwerk kann dadurch einen
Denial-of-Service-Angriff (DoS-Angriff) auf dem QEMU-Prozess durchführen.

CVE-2016-2391: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in QEMU mit Unterstützung der Emulation von
USB OHCI. Beim Übergang des OHCI-Controllers in den Status
‘OHCI_USB_OPERATIONAL’ wird in ‘ohci_bus_start’ ein ‘eof timer’-Objekt
erzeugt. Dabei wird nicht geprüft, ob ein solches Objekt bereits existiert.
Dies kann zu einem Speicherleck und einer NULL-Zeiger-Dereferenzierung
führen, wodurch ein einfach authentifizierter Angreifer im benachbarten
Netzwerk einen Denial-of-Service-Angriff (DoS-Angriff) auf ein Gastsystem
ausführen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0771/

Schwachstelle CVE-2016-2391 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2391

Schwachstelle CVE-2016-2392 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2392

Schwachstelle CVE-2016-2538 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2538

Schwachstelle CVE-2016-2841 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2841

Schwachstelle CVE-2016-2857 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2857

Schwachstelle CVE-2016-2858 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2858

Schwachstelle CVE-2016-4001 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4001

Schwachstelle CVE-2016-4002 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4002

Schwachstelle CVE-2016-4020 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4020

Schwachstelle CVE-2016-4037 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4037

Schwachstelle CVE-2016-3710 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3710

Schwachstelle CVE-2016-3712 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3712

Ubuntu Security Notice USN-2974-1:
http://www.ubuntu.com/usn/usn-2974-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben