UPDATE: DFN-CERT-2016-1302 QEMU: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][RedHat][Unix][Solaris][Windows]

UPDATE: DFN-CERT-2016-1302 QEMU: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][RedHat][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (10.08.2016):
Für Oracle VM Server 3.4 steht ein Sicherheitsupdate bereit, durch welches
diese Schwachstelle und zudem eine Regression von CVE-2016-3712 behoben
werden.
Version 1 (10.08.2016):
Neues Advisory

Betroffene Software:

QEMU

Betroffene Plattformen:

Red Hat Enterprise Virtualization 3
Oracle Linux 6
Oracle VM Server 3.4
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Workstation 6

Eine Schwachstelle in QEMU ermöglicht einem einfach authentisierten
Angreifer im benachbarten Netzwerk einen Denial-of-Service (DoS)-Angriff.

Für Oracle Linux 6, die Red Hat Enterprise Linux 6 Produkte Server, Desktop,
HPC Node und Workstation sowie Red Hat Enterprise Virtualization 3 stehen
aktualisierte ‘qemu-kvm’-Pakete als Sicherheitsupdates bereit.

Patch:

Oracle Linux Security Advisory ELSA-2016-1585

http://linux.oracle.com/errata/ELSA-2016-1585.html

Patch:

Oracle VM Security Advisory OVMSA-2016-0096

https://oss.oracle.com/pipermail/oraclevm-errata/2016-August/000512.html

Patch:

Red Hat Security Advisory RHSA-2016:1585

http://rhn.redhat.com/errata/RHSA-2016-1585.html

Patch:

Red Hat Security Advisory RHSA-2016:1586

http://rhn.redhat.com/errata/RHSA-2016-1586.html

CVE-2016-5403: Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in Xen/QEMU, die es einem Gast ermöglicht
hintereinander mehrere VirtIO-Anfragen zu machen ohne dabei auf die
Vollendung einer vorangegangenen Anfrage warten zu müssen und ohne dabei an
die Größe von ‘virtqueue’ gebunden zu sein. Ein einfach authentisierter
Gast-Administrator im benachbarten Netzwerk kann durch das Ausnutzen dieser
Schwachstelle unbegrenzt Speicher eines betroffenen Systems reservieren und
so einen Denial-of-Service-Zustand bewirken. Betroffen von dieser
Schwachstelle sind ausschließlich Hardware VM’s (HVM) die Gast-Benutzern den
‘virtio-net’-Dienst zur Verfügung stellen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1302/

Schwachstelle CVE-2016-5403 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5403

Oracle Linux Security Advisory ELSA-2016-1585:
http://linux.oracle.com/errata/ELSA-2016-1585.html

Oracle VM Security Advisory OVMSA-2016-0096:
https://oss.oracle.com/pipermail/oraclevm-errata/2016-August/000512.html

Red Hat Security Advisory RHSA-2016:1585:
http://rhn.redhat.com/errata/RHSA-2016-1585.html

Red Hat Security Advisory RHSA-2016:1586:
http://rhn.redhat.com/errata/RHSA-2016-1586.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben