2019-0389: QEMU: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2019-02-25 16:05): Neues Advisory

Betroffene Software

Virtualisierung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in QEMU für verschiedene Denial-of-Service (DoS)-Angriffe ausnutzen. Ein einfach authentifizierter Angreifer im benachbarten Netzwerk kann zwei weitere Schwachstellen ausnutzen, um beliebige Dateien zu lesen oder zu manipulieren, wodurch ein Denial-of-Service-Zustand erzeugt und möglicherweise beliebiger Programmcode auf dem Host zur Ausführung gebracht werden kann. Ein lokaler, nicht authentisierter Angreifer kann ebenfalls einen Denial-of-Service-Angriff durchführen und ein lokaler, einfach authentisierter Angreifer kann weitere Schwachstellen ausnutzen, um den QEMU-Prozess auf dem Host zum Absturz zu bringen (Denial-of-Service), eventuell beliebigen Programmcode mit den Privilegien des QEMU-Prozesses auszuführen oder wiederum Denial-of-Service-Angriffe gegen das Gastsystem durchzuführen.

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'qemu' bereit, um diese Schwachstellen zu beheben.

Schwachstellen:

CVE-2018-16867

Schwachstelle in QEMU ermöglicht u. a. Denial-of-Service-Angriff