2014-1510: Xen, QEMU: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2014-11-20 11:57)
- Neues Advisory
- Version 2 (2014-11-21 13:21)
- Fedora hat für die Distributionen Fedora 19 und Fedora 20 Sicherheitsupdates veröffentlicht.
- Version 3 (2014-11-24 18:13)
- Fedora hat für eine weitere Schwachstelle CVE-2014-9030 für die Distributionen Fedora 19, Fedora 20 und Fedora 21 Sicherheitsupdates veröffentlicht.
- Version 4 (2014-12-01 10:40)
- Fedora hat die bisherigen Sicherheitsupdates (FEDORA-2014-15328, FEDORA-2014-15606) für die Distribution Fedora 21 in den Status 'obsolet' gesetzt und stellt ein neues Update im Status 'testing' zur Verfügung.
Betroffene Software
Virtualisierung
Betroffene Plattformen
Linux
Beschreibung:
Durch das Ausnutzen dieser Schwachstellen kann ein im benachbarten Netzwerk befindlicher, authentisierter Angreifer beliebigen Programmcode mit den Rechten des Dienstes ausführen, ein lokaler, nicht authentisierter Angreifer Supervisor-Rechte erlangen oder ein entfernter, nicht authentisierter Angreifer Denial-of-Service (DoS)-Angriffe durchführen. Für Red Hat Fedora 21 werden diese Schwachstellen durch Bereitstellung eines aktualisierten Paketes von xen 4.4.1 adressiert. Insbesondere enthält dieses neue Paket auch einen Fix für die Schwachstelle CVE-2014-0150 in "qemu-dm", wobei diese wahrscheinlich ohnehin nicht über Xen ausgenutzt werden kann.
Schwachstellen:
CVE-2014-0150
Integer-Überlauf in QEMUCVE-2014-8594
Schwachstelle in MMU Update Operationen ermöglicht einen Denial-of-Service-AngriffCVE-2014-8595
Schwachstelle in der Emulation 'far branch' Instruktionen ermöglicht PrivilegieneskalationCVE-2014-9030
Schwachstelle in Xen ermöglicht einen Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.