Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
QEMU
Red Hat Fedora <= 19
Red Hat Fedora <= 20
Betroffene Plattformen:
Fedora
Linux
RedHat
UNIX
Zwei Schwachstellen in Qemu ermöglichen einem lokalen, authentifizierten
Angreifer einen Denial-of-Service-Angriff (bei Fedora 20) zu starten oder
beliebige Befehle mit den Rechten des Qemu Processes (alle) auszuführen.
Patch:
Fedora Update FEDORA-2013-18471
https://admin.fedoraproject.org/updates/FEDORA-2013-18471/qemu-1.6.0-9.fc20
Patch:
Fedora Update FEDORA-2013-18493
https://admin.fedoraproject.org/updates/FEDORA-2013-18493/qemu-1.4.2-12.fc19
CVE-2013-4377: Denial-of-Service beim Entfern eines virtio-Gerätes bei qemu
Eine Schwachstelle in der Verwaltung von virtio-Geräten bewirkt, dass
virtio-blk-pci-Geräte aufgrund eines nicht korrekt verwalteten Zeigers nicht
korrekt gelöscht werden. Ein lokaler, authentifizierter Angreifer kann durch
das Entfernen eines virtio-Gerätes einen Denial-of-Service-Angriff
durchführen.
CVE-2013-4344: Pufferüberlauf in Xen / qemu
Eine Schwachstelle in der SCSI-Implementierung in qemu beinhaltet einen
Pufferüberlauf. Ein lokaler, authentifizierter Angreifer kann, wenn an einem
SCSI-Kontroller mehr als 256 Geräte angeschlossen sind, durch die Verwendung
des “SCSI REPORT LUNS” Kommando beliebige Befehle im Kontext des
qemu-Prozesses ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1749/
Schwachstelle CVE-2013-4377 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4377
Schwachstelle CVE-2013-4344 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4344
Fedora Update FEDORA-2013-18471:
https://admin.fedoraproject.org/updates/FEDORA-2013-18471/qemu-1.6.0-9.fc20
Fedora Update FEDORA-2013-18493:
https://admin.fedoraproject.org/updates/FEDORA-2013-18493/qemu-1.4.2-12.fc19
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
