DFN-CERT-2012-0303 Schwachstelle in Xen [Linux][Fedora]

DFN-CERT-2012-0303 Schwachstelle in Xen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket xen

Betroffene Plattformen:

Fedora 16
Fedora 15

Eine Schwachstelle in Xen erlaubt einem Angreifer mit Zugriff auf ein
virtuelle Maschine, einen Absturz herbeizuführen oder schlimmstenfalls seine
Rechte zu erweitern.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-0029: Heap-Overflow Schwachstelle in KVM

Die Emulation der e1000 Netzwerkschnittstellenkarte in QEMU-KVM
(Kernel-based Virtual Machine) enthält eine fehlerhafte Überprüfung bei
großen, nacheinander ankommenden Paketen im Legacy Modus ohne gesetztes
EOP-Flag im ersten Paket. Dies kann zu einem Buffer-Overflow auf dem Heap
führen. Einem lokalen Angreifer mit Zugang zu einer virtuellen Maschine,
welche den Emulator für die e1000 Netzwerkschnittstellenkarte verwendet, ist
es durch das Ausnutzen der Schwachstelle möglich, einen Denial-of-Service
(DoS) durchzuführen oder schlimmstenfalls die eigenen Berechtigungen zu
erweitern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0303/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-February/073454.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-February/073460.html

Schwachstelle CVE-2012-0029:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0029

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben