2017-2177: QEMU, Kernel-based Virtual Machine (KVM): Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes und Denial-of-Service-Angriffe

Historie:

Version 1 (2017-12-01 12:57)

Neues Advisory

Betroffene Software

Virtualisierung

Betroffene Plattformen

Linux
Oracle
Virtualisierung

Beschreibung:

Zwei Schwachstellen in QEMU betreffen auch die Kernel-based Virtual Machine (KVM) und ermöglichen einem Benutzer eines Gastsystems, als nicht authentisiertem Angreifer im benachbarten Netzwerk, das Ausführen beliebigen Programmcodes sowie einem einfach authentisierter Angreifer im benachbarten Netzwerk die Durchführung eines Denial-of-Service (DoS)-Angriffs.

Red Hat stellt für die Red Hat Enterprise Linux 7 Produkte Desktop, Server und Workstation, Red Hat Enterprise Linux for Scientific Computing 7 sowie für Red Hat Enterprise Linux Server 7.4 in den Editionen Advanced Update Support (AUS), Extended Update Support (EUS), 4 Year Extended Update Support (EUS) und Telecom Update Support (TUS) sowie für Red Hat Enterprise Linux EUS Compute Node 7.4 Sicherheitsupdates für 'qemu-kvm' zur Verfügung. Oracle veröffentlicht Sicherheitsupdates für Oracle Linux 7 (x86_64).

Weiterhin stellt Red Hat für Red Hat Virtualization 4 ein Sicherheitsupdate für 'qemu-kvm-rhev' bereit, welches neben den genannten beiden Schwachstellen auch eine durch einen lokalen Benutzer ausnutzbare Denial-of-Service-Schwachstelle (CVE-2017-11334) adressiert.

Schwachstellen:

CVE-2017-11334

Schwachstelle in Xen / QEMU ermöglicht Denial-of-Service-Angriff

CVE-2017-14167

Schwachstelle in QEMU ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-15289

Schwachstelle in QEMU ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.