Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

QEMU <= 1.6.1 Betroffene Plattformen: Debian Linux 7.5 Wheezy Debian Linux 8.0 Jessie Es existieren mehrere Schwachstellen in QEMU. Ein lokaler oder sich in einem benachbarten Netzwerk befindlicher Angreifer kann beliebigen Programmcode mit den Rechten des QEMU Prozesses ausführen, den QEMU Prozess Speicher korrumpieren sowie das System zum Absturz bringen. Patch: Debian Security Advisory DSA-2932-1 https://www.debian.org/security/2014/dsa-2932

CVE-2014-2894: Schwachstelle in QEMU

Es besteht ein Speicherzugriffsfehler im IDE Geräte Modell von Qemu, der
durch das Überschreiben eines Puffers zu einer Speicherkorruption führt.
Dieser Fehler triff bei der Ausführung von IDE SMART-Befehlen auf. Ein sich
im benachbarten Netzwerk befindender, authentifizierter Angreifer kann diese
Schwachstelle nutzen, um beliebigen Programmcode mit den Rechten des
QEMU-Prozesses auszuführen.

CVE-2013-4344: Pufferüberlauf in QEMU

Eine Schwachstelle in der SCSI-Implementierung in QEMU beinhaltet einen
Pufferüberlauf. Ein lokaler, authentifizierter Angreifer kann, wenn an einem
SCSI-Controller mehr als 256 Geräte angeschlossen sind, durch die Verwendung
des “SCSI REPORT LUNS” Kommandos beliebige Befehle im Kontext des QEMU
Prozesses ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0624/

Schwachstelle CVE-2013-4344 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4344

Schwachstelle CVE-2014-2894 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2894

Debian Security Advisory DSA-2932-1:
https://www.debian.org/security/2014/dsa-2932

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.