DFN-CERT

Advisory-Archiv

2019-0988: Kernel-based Virtual Machine (KVM): Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-05-16 15:17)
Neues Advisory
Version 2 (2019-08-06 15:23)
Oracle veröffentlicht für Oracle Linux 8 (aarch64, x86_64) Sicherheitsupdates für 'virt:rhel', um die referenzierten Schwachstellen zu beheben. Ein weiteres Update für 'virt:rhel' betrifft insbesondere 'libvirt', behebt die Schwachstelle CVE-2019-10132 und aktualisiert auf eine höhere 'libvirt' Version als die hier referenzierte. Dafür wird eine gesonderte Meldung erstellt.

Betroffene Software

Virtualisierung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer und einem lokalen, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes. Mehrere weitere Schwachstellen in der Mikroarchitektur von Intel-Prozessoren (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und CVE-2019-11091) ermöglichen dem lokalen, einfach authentisierten Angreifer zudem das Ausspähen von Informationen.

Für RedHat Enterprise Linux in der Version 8 stehen Pakete für 'virt:rhel module' zur Behebung der Schwachstellen als Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2018-12126

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2018-12127

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2018-12130

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2018-20815

Schwachstelle in QEMU ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-11091

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2019-3855

Schwachstelle in libssh2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-3856

Schwachstelle in libssh2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-3857

Schwachstelle in libssh2 ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-3863

Schwachstelle in libssh2 ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.