DFN-CERT-2015-0163 libvirt: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2015-0163 libvirt: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RedHat libvirt <= 1.1.3.9 RedHat libvirt <= 1.2.9.2 Betroffene Plattformen: Red Hat Fedora 20 Red Hat Fedora 21 Mehrere Schwachstellen in der Libvirt ermöglichen einem entfernten, nicht authentifizierten Angreifer, einen Denial-of-Service-Angriff durchzuführen und einem entfernten, authentifizierten Angreifer Informationen auszuspähen. Fedora stellt für die Distribution Fedora 20 Sicherheitsupdates auf die Version libvirt-1.1.3.9-1 und für Fedora 21 auf die Version libvirt-1.2.9.2-1 zur Verfügung. Patch: Fedora Security Update FEDORA-2015-1883 https://admin.fedoraproject.org/updates/FEDORA-2015-1883/libvirt-1.1.3.9-1.fc20

Patch:

Fedora Security Update FEDORA-2015-1892

https://admin.fedoraproject.org/updates/FEDORA-2015-1892/libvirt-1.2.9.2-1.fc21

CVE-2015-0236: Schwachstelle in der Bibliothek libvirt

Die Schnittstellen virDomainSnapshotGetXMLDesc und
virDomainSaveImageGetXMLDesc akzeptieren bei Gebrauch fein-granularer
Zugriffssteuerungslisten das VIR_DOMAIN_XML_SECURE Flag auch in solchen
Situationen, in denen virDomainGetXMLDesc es zurückweist.

CVE-2014-8136: Schwachstelle in libvirt ermöglicht Denial-of-Service-Angriff

Die Funktionen ‘qemuDomainMigratePerform’ und ‘qemuDomainMigrateFinish2’ in
‘qemu/qemu_driver.c’ in libvirt geben die Domain nicht wieder frei, wenn die
ACL-Prüfung fehlschlägt. Ein lokaler, nicht authentisierter Angreifer kann
dies ausnutzen, um einen partiellen Denial-of-Service-Zustand zu bewirken.

CVE-2014-8131: Denial-of-Service-Schwachstelle in libvirt

In der Funktion ‘qemuConnectGetAllDomainStats’ in libvirt kann es zu einem
Deadlock oder einem Segmentation Fault kommen. Ein nicht authentisierter
Angreifer im benachbarten Netzwerk kann darüber einen
Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0163/

Schwachstelle CVE-2014-8136 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8136

Schwachstelle CVE-2014-8131 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8131

Schwachstelle CVE-2015-0236 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0236

Fedora Security Update FEDORA-2015-1883:
https://admin.fedoraproject.org/updates/FEDORA-2015-1883/libvirt-1.1.3.9-1.fc20

Fedora Security Update FEDORA-2015-1892:
https://admin.fedoraproject.org/updates/FEDORA-2015-1892/libvirt-1.2.9.2-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben