2017-1857: libvirt: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-10-20 15:46)

Neues Advisory

Version 2 (2017-10-26 11:38)

Für die SUSE Linux Enterprise 12 SP3 Produkte Software Development Kit, Server und Desktop stehen Sicherheitsupdates für 'libvirt' bereit.

Version 3 (2017-10-30 14:18)

Für openSUSE Leap 42.3 steht ein libvirt-Sicherheitsupdate bereit, um die Schwachstelle und einen nicht sicherheitsrelevanten Bug zu beheben.

Version 4 (2017-12-11 10:22)

Für Fedora 26 und 27 stehen Sicherheitsupdates für das Paket 'libvirt' im Status 'testing' zur Behebung der Schwachstelle bereit.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer in einer privilegierten Position im Netzwerk (als Man-in-the-Middle) kann Client-Verbindungen von QEMU-Geräten, die TLS aktiviert haben, manipulieren. Der Angreifer kann aus dieser Position ein beliebiges Zertifikat an den Client senden. Dieser ignoriert aufgrund eines Fehlers in der Client-Konfiguration alle dadurch ausgelösten Validierungsfehler, wodurch die Sicherheitsvorkehrung umgangen werden kann.

Der Hersteller hat einen Sicherheitshinweis zur Schwachstelle bereitgestellt, über den verschiedene Patches für unterschiedliche Versionszweige der Software abrufbar sind. Die Schwachstelle wird voraussichtlich in Version 3.9.0 der Software behoben, es ist allerdings noch kein Veröffentlichungsdatum bekannt.

Debian stellt für die stabile Distribution Stretch ein Backport-Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2017-1000256

Schwachstelle in libvirt ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.