UPDATE: DFN-CERT-2017-1857 libvirt: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2017-1857 libvirt: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (11.12.2017):
Für Fedora 26 und 27 stehen Sicherheitsupdates für das Paket ‘libvirt’ im
Status ‘testing’ zur Behebung der Schwachstelle bereit.
Version 3 (30.10.2017):
Für openSUSE Leap 42.3 steht ein libvirt-Sicherheitsupdate bereit, um die
Schwachstelle und einen nicht sicherheitsrelevanten Bug zu beheben.
Version 2 (26.10.2017):
Für die SUSE Linux Enterprise 12 SP3 Produkte Software Development Kit,
Server und Desktop stehen Sicherheitsupdates für ‘libvirt’ bereit.
Version 1 (20.10.2017):
Neues Advisory

Betroffene Software:

RedHat libvirt

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 12 SP3
Debian Linux 9.2 Stretch
openSUSE Leap 42.3
SUSE Linux Enterprise Desktop 12 SP3
SUSE Linux Enterprise Server 12 SP3
Red Hat Fedora 26
Red Hat Fedora 27

Ein entfernter, nicht authentisierter Angreifer in einer privilegierten
Position im Netzwerk (als Man-in-the-Middle) kann Client-Verbindungen von
QEMU-Geräten, die TLS aktiviert haben, manipulieren. Der Angreifer kann aus
dieser Position ein beliebiges Zertifikat an den Client senden. Dieser
ignoriert aufgrund eines Fehlers in der Client-Konfiguration alle dadurch
ausgelösten Validierungsfehler, wodurch die Sicherheitsvorkehrung umgangen
werden kann.

Der Hersteller hat einen Sicherheitshinweis zur Schwachstelle
bereitgestellt, über den verschiedene Patches für unterschiedliche
Versionszweige der Software abrufbar sind. Die Schwachstelle wird
voraussichtlich in Version 3.9.0 der Software behoben, es ist allerdings
noch kein Veröffentlichungsdatum bekannt.

Debian stellt für die stabile Distribution Stretch ein
Backport-Sicherheitsupdate zur Verfügung.

Workaround:

Über den Parameter ‘default_tls_x509_verify’ in ‘qemu.conf’ kann die
Zertifikatsvalidierung in QEMU-Clients aktiviert werden. Dies aktiviert
allerdings gleichzeitig auch die Verwendung von Client-Zertifikaten in
QEMU-Servern. Dieser Workaround erfordert einen Neustart von libvirt.

Patch:

Debian Security Advisory DSA-4003-1

https://www.debian.org/security/2017/dsa-4003

Patch:

Libvirt Security Notice: LSN-2017-0002

https://security.libvirt.org/2017/0002.html

Patch:

SUSE Security Update SUSE-SU-2017:2850-1

http://lists.suse.com/pipermail/sle-security-updates/2017-October/003354.html

Patch:

openSUSE Security Update openSUSE-SU-2017:2878-1

http://lists.opensuse.org/opensuse-updates/2017-10/msg00096.html

Patch:

Fedora Security Update FEDORA-2017-b16cdbdc34 (Fedora 27,
libvirt-3.7.0-3.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b16cdbdc34

Patch:

Fedora Security Update FEDORA-2017-b5cdad4163 (Fedora 26,
libvirt-3.2.1-7.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b5cdad4163

CVE-2017-1000256: Schwachstelle in libvirt ermöglicht Umgehen von
Sicherheitsvorkehrungen

Über den Parameter ‘default_tls_x509_verify’ und ähnliche in der Datei
‘qemu.conf’ kann festgelegt werden, ob TLS-Server in QEMU Zertifikate von
Klienten anfordern und verifizieren. Diese Art der Verwendung von
Zertifikaten kann von QEMU-Servern als Zugangskontrollsystem genutzt werden,
wenn diese von der Certificate Authority verlangen, Zertifikate für Clients
auszustellen. Standardmäßig ist diese Zugangskontrolle in QEMU über die
genannten Konfigurationsparameter deaktiviert, um Ressourcen zu schonen. Der
Programmcode von libvirt verwendet diese Parameter fälschlicherweise für die
Erstellung von TLS-Clients und Servern in QEMU. Infolgedessen ignorieren auf
diese Weise erstellte TLS-Clients in der Standardkonfiguration
Validierungsfehler.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1857/

Schwachstelle CVE-2017-1000256 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000256

Debian Security Advisory DSA-4003-1:
https://www.debian.org/security/2017/dsa-4003

Libvirt Security Notice: LSN-2017-0002:
https://security.libvirt.org/2017/0002.html

SUSE Security Update SUSE-SU-2017:2850-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-October/003354.html

openSUSE Security Update openSUSE-SU-2017:2878-1:
http://lists.opensuse.org/opensuse-updates/2017-10/msg00096.html

Fedora Security Update FEDORA-2017-b16cdbdc34 (Fedora 27,
libvirt-3.7.0-3.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b16cdbdc34

Fedora Security Update FEDORA-2017-b5cdad4163 (Fedora 26,
libvirt-3.2.1-7.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b5cdad4163

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben