Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (19.05.2014):
Für openSUSE 13.1 steht nun auch ein Sicherheitsupdate bereit.
Version 1 (16.05.2014):
Neues Advisory

Betroffene Software:

RedHat libvirt <= 1.2.3 Betroffene Plattformen: openSUSE 12.3 openSUSE 13.1 Eine Schwachstelle in libvirt ermöglicht einem Angreifer auf einem Gastsystem im benachbarten Netzwerk, Informationen auszuspähen oder einen Denial-of-Service-Zustand herbeizuführen. Patch: openSUSE Security Update: openSUSE-SU-2014:0650-1 http://lists.opensuse.org/opensuse-updates/2014-05/msg00048.html

Patch:

openSUSE Security Update openSUSE-SU-2014:0674-1

http://lists.opensuse.org/opensuse-updates/2014-05/msg00052.html

CVE-2014-0179: Schwachstelle in libvirt

Bei der Verarbeitung von XML-Dokumenten übergibt libvirt als Option
“XML_PARSE_NOENT”, womit libxml2 angewiesen wird, externe Entitäten zu
substituieren. Es ist möglich, libvirt ein XML-Dokument zu übergeben, das
beliebige Dateien auf dem Wirtsystem referenziert, deren Inhalte durch
libvirt eingelesen und in das Dokument eingebunden werden. Ein im
benachbarten Netzwerk befindlicher Angreifer innerhalb eines Gastsystems
kann diese Schwachstelle gegen das Wirtsystem ausnutzen, um Informationen
auszuspähen oder einen Denial-of-Service-Zustand herbei zu führen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0606/

openSUSE Security Update: openSUSE-SU-2014:0650-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00048.html

Schwachstelle CVE-2014-0179 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0179

openSUSE Security Update openSUSE-SU-2014:0674-1:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00052.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.