UPDATE: DFN-CERT-2014-1428 QEMU: Zwei Schwachstellen ermöglichen u.a. eine Privilegieneskalation [Linux][Fedora]

UPDATE: DFN-CERT-2014-1428 QEMU: Zwei Schwachstellen ermöglichen u.a. eine Privilegieneskalation [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (03.11.2014):
Für Fedora 20 steht ein Sicherheitsupdate bereit.
Version 1 (31.10.2014):
Neues Advisory

Betroffene Software:

QEMU

Betroffene Plattformen:

Red Hat Fedora 20
Red Hat Fedora 21

Durch Ausnutzen dieser Schwachstellen kann ein im benachbarten Netzwerk
befindlicher, einfach authentisierter Benutzer, als Angreifer einen
Denial-of-Service-Zustand bewirken oder seine Privilegien auf die des
QEMU-Host-Prozesses erweitern. Für Red Hat Fedora 21 werden aktualisierte
Pakete qemu-2.1.2-6.fc21 bereitgestellt.

Patch:

Fedora Security Update FEDORA-2014-13993

https://admin.fedoraproject.org/updates/FEDORA-2014-13993/qemu-2.1.2-6.fc21

Patch:

Fedora Security Update FEDORA-2014-14033

https://admin.fedoraproject.org/updates/FEDORA-2014-14033/qemu-1.6.2-10.fc20

CVE-2014-7815: DoS-Schwachstelle in vnc in QEMU

Eine Schwachstelle in “vnc” in QEMU besteht in unzureichenden
“bits_per_pixel” bei der Bereinigung des Clients. Ein im benachbarten
Netzwerk befindlicher, einfach authentisierter Angreifer kann die
Schwachstelle ausnutzen, um die Verfügbarkeit des Systems komplett zu
beeinträchtigen.

CVE-2014-3689: Schwachstelle in vmware_vga in QEMU ermöglicht
Privilegieneskalation

Eine Schwachstelle in “vmware_vga” in QEMU besteht in einer unzureichenden
Parametervalidierung in “rectangle”-Funktionen. Ein im benachbarten Netzwerk
befindlicher, einfach authentisierter Angreifer kann die Schwachstelle
ausnutzen, um seine Privilegien zu erhöhen bis zu den Rechten des
QEMU-Host-Prozesses.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1428/

Fedora Security Update FEDORA-2014-13993:
https://admin.fedoraproject.org/updates/FEDORA-2014-13993/qemu-2.1.2-6.fc21

Schwachstelle CVE-2014-3689 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3689

Schwachstelle CVE-2014-7815 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7815

Fedora Security Update FEDORA-2014-14033:
https://admin.fedoraproject.org/updates/FEDORA-2014-14033/qemu-1.6.2-10.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben