Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (16.10.2013):
Aktuelle Versionen für openSUSE 12.2 und 12.3 sind verfügbar.
Version 2 (26.09.2013):
Fedora und Debian haben Updates bereitgestellt.
Version 1 (20.09.2013):
Neues Advisory

Betroffene Software:

Redhat Enterprise Virtualization <= 3.2 Canonical Ubuntu Linux <= 10.04 Lts Canonical Ubuntu Linux <= 12.04 Lts Canonical Ubuntu Linux <= 12.10 Canonical Ubuntu Linux <= 13.04 Debian Linux openSUSE <= 12.2 openSUSE <= 12.3 Red Hat Enterprise Linux Red Hat Enterprise Linux <= 6 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Debian Fedora Linux RedHat Ubuntu UNIX In den verschiedenen Linux-Distributionen gibt es mehrere, nicht bei allen Distributionen gleiche, Sicherheitslücken durch libvirt. Empfohlen ist das Update auf die aktuellen Versionen. Patch: Ubuntu Security Notice USN-1954-1 http://www.ubuntu.com/usn/usn-1954-1/

Patch:

Red Hat Security Advisory RHSA-2013-1272

http://rhn.redhat.com/errata/RHSA-2013-1272.html

Patch:

Fedora Update FEDORA-2013-17305

https://admin.fedoraproject.org/updates/FEDORA-2013-17305/libvirt-0.10.2.8-1.fc18

Patch:

Fedora Update FEDORA-2013-17279

https://admin.fedoraproject.org/updates/FEDORA-2013-17279

Patch:

Fedora Update FEDORA-2013-17305

https://admin.fedoraproject.org/updates/FEDORA-2013-17305

Patch:

Fedora Update FEDORA-2013-17618

https://admin.fedoraproject.org/updates/FEDORA-2013-17618

Patch:

Debian Security Advisory DSA-2764

http://www.debian.org/security/2013/dsa-2764

Patch:

openSUSE-SU-2013:1549-1

http://lists.opensuse.org/opensuse-updates/2013-10/msg00023.html

Patch:

openSUSE-SU-2013:1550-1

http://lists.opensuse.org/opensuse-updates/2013-10/msg00024.html

CVE-2013-4297: Schwachstelle in libvirt

Die ‘stats’ Variable in der Funktion remoteDispatchDomainMemoryStats wird
nicht korrekt auf NULL initialisiert. Ein entfernter Angreifer kann durch
präparierte RPC Anfragen einen Denial-of-Service Angriff ausführen.

CVE-2013-4291: Schwachstelle in libvirt

Eine Schwachstelle in libvirt behandelt im Aufruf von
virSecurityManagerSetProcessLabel Untergruppen nicht korrekt. Dadurch kann
es einem Fehler beim Setzen von Gruppenrechten für einen Prozess kommen.

CVE-2013-5651: libvirt: Denial-of-Service durch Bitmap-Operationen

Fehler bei Bitmap-Operationen erlaubt es Angreifern, durch libvirt einen
Absturz zu verursachen.

CVE-2013-4311: libvirt: Umgehung der Authentifizierung durch lokale
Angreifer

Durch einen fehlerhaften Aufruf von pkcheck kann ein lokaler Angreifer die
polkit Authentifizierung umgehen.

CVE-2013-4296: libvirt: Denial-of-Service durch Fehler bei Zugriffen auf den
Speicher

Weil bei libvirt Speicher fälschlicherweise frei gegeben wird, können auch
Angreifer über das Netzwerk einen Absturz verursachen, wenn die Funktion
remoteDispatchDomainMemoryStats aufgerufen wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1667/

Schwachstelle CVE-2013-5651 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5651

Schwachstelle CVE-2013-4311 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4311

Ubuntu Security Notice USN-1954-1:
http://www.ubuntu.com/usn/usn-1954-1/

Red Hat Security Advisory RHSA-2013-1272:
http://rhn.redhat.com/errata/RHSA-2013-1272.html

Schwachstelle CVE-2013-4291 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4291

Fedora Update FEDORA-2013-17305:
https://admin.fedoraproject.org/updates/FEDORA-2013-17305/libvirt-0.10.2.8-1.fc18

Schwachstelle CVE-2013-4297 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4297

Fedora Update FEDORA-2013-17279:
https://admin.fedoraproject.org/updates/FEDORA-2013-17279

Fedora Update FEDORA-2013-17305:
https://admin.fedoraproject.org/updates/FEDORA-2013-17305

Fedora Update FEDORA-2013-17618:
https://admin.fedoraproject.org/updates/FEDORA-2013-17618

Debian Security Advisory DSA-2764:
http://www.debian.org/security/2013/dsa-2764

Schwachstelle CVE-2013-4296 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4296

openSUSE-SU-2013:1549-1:
http://lists.opensuse.org/opensuse-updates/2013-10/msg00023.html

openSUSE-SU-2013:1550-1:
http://lists.opensuse.org/opensuse-updates/2013-10/msg00024.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (26.09.2013):
Fedora und Debian haben Updates bereitgestellt.
Version 1 (20.09.2013):
Neues Advisory

Betroffene Software:

Redhat Enterprise Virtualization <= 3.2 Canonical Ubuntu Linux <= 10.04 Lts Canonical Ubuntu Linux <= 12.04 Lts Canonical Ubuntu Linux <= 12.10 Canonical Ubuntu Linux <= 13.04 Debian Linux Red Hat Enterprise Linux Red Hat Enterprise Linux <= 6 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Debian Fedora Linux RedHat Ubuntu UNIX In den verschiedenen Distributionen von Ubuntu und RedHat gibt es mehrere, nicht bei allen Distributionen gleiche, Sicherheitslücken durch libvirt. Empfohlen ist das Update auf die aktuellen Versionen. Patch: Ubuntu Security Notice USN-1954-1 http://www.ubuntu.com/usn/usn-1954-1/

Patch:

Red Hat Security Advisory RHSA-2013-1272

http://rhn.redhat.com/errata/RHSA-2013-1272.html

Patch:

Fedora Update FEDORA-2013-17305

https://admin.fedoraproject.org/updates/FEDORA-2013-17305/libvirt-0.10.2.8-1.fc18

Patch:

Fedora Update FEDORA-2013-17305

https://admin.fedoraproject.org/updates/FEDORA-2013-17305

Patch:

Fedora Update FEDORA-2013-17279

https://admin.fedoraproject.org/updates/FEDORA-2013-17279

Patch:

Fedora Update FEDORA-2013-17618

https://admin.fedoraproject.org/updates/FEDORA-2013-17618

Patch:

Debian Security Advisory DSA-2764

http://www.debian.org/security/2013/dsa-2764

CVE-2013-4297: Schwachstelle in libvirt

Die ‘stats’ Variable in der Funktion remoteDispatchDomainMemoryStats wird
nicht korrekt auf NULL initialisiert. Ein entfernter Angreifer kann durch
präparierte RPC Anfragen einen Denial-of-Service Angriff ausführen.

CVE-2013-4291: Schwachstelle in libvirt

Eine Schwachstelle in libvirt behandelt im Aufruf von
virSecurityManagerSetProcessLabel Untergruppen nicht korrekt. Dadurch kann
es einem Fehler beim Setzen von Gruppenrechten für einen Prozess kommen.

CVE-2013-5651: libvirt: Denial-of-Service durch Bitmap-Operationen

Fehler bei Bitmap-Operationen erlaubt es Angreifern, durch libvirt einen
Absturz zu verursachen.

CVE-2013-4311: libvirt: Umgehung der Authentifizierung durch lokale
Angreifer

Durch einen fehlerhaften Aufruf von pkcheck kann ein lokaler Angreifer die
polkit Authentifizierung umgehen.

CVE-2013-4296: libvirt: Denial-of-Service durch Fehler bei Zugriffen auf den
Speicher

Weil bei libvirt Speicher fälschlicherweise frei gegeben wird, können auch
Angreifer über das Netzwerk einen Absturz verursachen, wenn die Funktion
remoteDispatchDomainMemoryStats aufgerufen wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1667/

Schwachstelle CVE-2013-4291 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4291

Schwachstelle CVE-2013-4297 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4297

Schwachstelle CVE-2013-4311 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4311

Schwachstelle CVE-2013-5651 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5651

Schwachstelle CVE-2013-4311 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4311

Ubuntu Security Notice USN-1954-1:
http://www.ubuntu.com/usn/usn-1954-1/

Red Hat Security Advisory RHSA-2013-1272:
http://rhn.redhat.com/errata/RHSA-2013-1272.html

Schwachstelle CVE-2013-4311 (RedHat):
https://www.redhat.com/security/data/cve/CVE-2013-4296.html

Schwachstelle CVE-2013-4291 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4291

Fedora Update FEDORA-2013-17305:
https://admin.fedoraproject.org/updates/FEDORA-2013-17305/libvirt-0.10.2.8-1.fc18

Schwachstelle CVE-2013-4297 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4297

Fedora Update FEDORA-2013-17305:
https://admin.fedoraproject.org/updates/FEDORA-2013-17305

Fedora Update FEDORA-2013-17279:
https://admin.fedoraproject.org/updates/FEDORA-2013-17279

Fedora Update FEDORA-2013-17618:
https://admin.fedoraproject.org/updates/FEDORA-2013-17618

Debian Security Advisory DSA-2764:
http://www.debian.org/security/2013/dsa-2764

Schwachstelle CVE-2013-4296 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4296

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.