2017-1621: QEMU: Mehrere Schwachstellen ermöglichen u.a. eine Privilegieneskalation
Historie:
- Version 1 (2017-09-13 17:51)
- Neues Advisory
- Version 2 (2017-09-21 14:53)
- Canonical informiert darüber, dass der mit USN-3414-1 zur Behebung der Schwachstellen in QEMU ausgelieferte Backport des Patches für die Schwachstelle CVE-2017-9375 unvollständig war und eine Regression in der Unterstützung der USB xHCI Controller Emulation bewirkt hat. Der Hersteller behebt dieses Problem mit den Updates in Ubuntu Security Notice USN-3414-2.
Betroffene Software
Virtualisierung
Betroffene Plattformen
Linux
Beschreibung:
Zwei Schwachstellen in QEMU ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service (DoS)-Angriffen. Weitere Schwachstellen ermöglichen einem einfach authentisierten Angreifer im benachbarten Netzwerk zudem das Eskalieren von Privilegien, die Durchführung weiterer Denial-of-Service-Angriffe sowie das Ausspähen von Informationen. Ein lokaler, nicht authentisierter Angreifer kann mit Hilfe einer weiteren Schwachstelle ebenfalls einen Denial-of-Service-Angriff durchführen.
Canonical stellt für die Distributionen Ubuntu 17.04, 16.04 LTS und 14.04 LTS Sicherheitsupdates für 'qemu' bereit. Die Schwachstellen CVE-2017-8380 und CVE-2017-12809 betreffen Ubuntu 14.04 LTS nicht und die Schwachstellen CVE-2017-9060 und CVE-2017-9310 betreffen ausschließlich Ubuntu 17.04.
Schwachstellen:
CVE-2017-10664
Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-10806
Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-10911
Schwachstelle in Xen / QEMU ermöglicht Ausspähen von InformationenCVE-2017-11434
Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-12809
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-7493
Schwachstelle in QEMU ermöglicht PrivilegieneskalationCVE-2017-8112
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-8380
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-9060
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-9310
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-9330
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-9373
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-9374
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-9375
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-9503
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2017-9524
Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.