2019-0352: QEMU: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2019-02-19 12:57)
- Neues Advisory
- Version 2 (2019-02-19 19:54)
- Für die SUSE Linux Enterprise Produkte Server und Desktop jeweils in Version 12 SP4 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit.
- Version 3 (2019-02-25 10:49)
- Für SUSE Linux Enterprise Server 12 SP1 LTSS steht ein Sicherheitsupdate für das Paket 'qemu' zur Verfügung. Die Schwachstelle CVE-2018-18954 wird hierdurch nicht adressiert.
- Version 4 (2019-02-27 13:56)
- Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für das Paket 'qemu' zur Verfügung, welches die fünf Schwachstellen und sieben weitere nicht sicherheitsrelevante Fehler behebt.
- Version 5 (2019-04-29 13:47)
- Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein Sicherheitsupdate bereit, das analog zu SUSE-SU-2019:0471-1 vier der fünf Schwachstellen in 'qemu' adressiert.
Betroffene Software
Virtualisierung
Betroffene Plattformen
Linux
Beschreibung:
Ein lokaler, einfach authentisierter Angreifer kann eine Schwachstelle in QEMU ausnutzen, um das Host-System in einen Denial-of-Service (DoS)-Zustand zu versetzen oder eventuell beliebigen Programmcode mit den Privilegien des QEMU-Prozesses zur Ausführung zu bringen. Mehrere weitere Schwachstellen ermöglichen einem einfach authentisierten Angreifer im benachbarten Netzwerk die Durchführung weiterer Denial-of-Service-Angriffe sowie das Ausspähen von Informationen.
Für die SUSE Linux Enterprise Module für Server Applications 15, Basesystem 15 und Open Buildservice Development Tools 15 stehen bereits Sicherheitsupdates zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2018-16872
Schwachstelle in QEMU ermöglicht Ausspähen von InformationenCVE-2018-18954
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2018-19364
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2018-19489
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2019-6778
Schwachstelle in Xen / QEMU ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.