2018-1669: QEMU, Kernel-based Virtual Machine (KVM): Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2018-08-17 14:03)

Neues Advisory

Version 2 (2018-08-17 15:05)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produkte Server, Workstation, Desktop und für Scientific Computing sowie Server Extended Update Support 7.5 und EUS Compute Node 7.5 ebenfalls Sicherheitsupdates für 'qemu-kvm', um die beiden Schwachstellen zu beheben.

Betroffene Software

Virtualisierung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Eine der Schwachstellen in QEMU ermöglicht einem lokalen, nicht authentisierten Angreifer in der Gastumgebung beliebigen Programmcode auf dem Host-System zur Ausführung zu bringen. Die zweite Schwachstelle kann von einem lokalen Angreifer mit erweiterten Privilegien ausgenutzt werden, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder seine Privilegien zu erweitern und darüber beliebigen Programmcode im Sicherheitskontext des QEMU-Prozesses auszuführen.

Oracle veröffentlicht für Oracle Linux 7 (x86_64) ein Sicherheitsupdate in Form eines aktualisierten 'qemu-kvm'-Paketes zur Behebung der beiden Schwachstellen.

Schwachstellen:

CVE-2018-11806

Schwachstelle in QEMU ermöglicht u. a. Privilegieneskalation

CVE-2018-7550

Schwachstelle in QEMU ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.