2019-1267: libvirt: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-06-21 15:30)

Neues Advisory

Version 2 (2019-06-24 12:06)

Für Oracle Linux 7 steht ein Sicherheitsupdate zur Behebung der Schwachstellen bereit.

Version 3 (2019-06-24 12:35)

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop jeweils in Version 12 SP4 sowie Module for Server Applications, Module for Open Buildservice Development Tools und Module for Basesystem jeweils in den Versionen 15 und 15 SP1 stehen Sicherheitsupdates für 'libvirt' bereit, wobei die Schwachstelle CVE-2019-10168 lediglich für die Version 15 SP1 referenziert wird.

Version 4 (2019-06-25 12:20)

Für die SUSE Linux Enterprise Produkte Server 12 LTSS und 12 SP1 LTSS sowie Server for SAP 12 SP1 stehen Sicherheitsupdates für 'libvirt' bereit, wobei für die Version 12 SP1 die Schwachstellen CVE-2019-10161 und CVE-2019-10167 genannt werden und für die Version 12 lediglich die Schwachstelle CVE-2019-10161 referenziert wird.

Version 5 (2019-07-01 12:57)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'libvirt' bereit, mit dem die Schwachstellen mit Ausnahme von CVE-2019-10168 adressiert werden.

Version 6 (2019-07-03 12:37)

Der Hersteller stellt Libvirt 5.5.0 bereit, um die Schwachstellen und weitere Programmfehler zu beheben.

Version 7 (2019-07-08 17:58)

Canonical stellt für Ubuntu 19.04, Ubuntu 18.10, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'libvirt' bereit, um die Schwachstellen zu beheben.

Version 8 (2019-07-12 10:35)

Für Red Hat Enterprise Linux 8 Advanced Virtualization stehen Sicherheitsupdates für das Modul 'virt:8.0.0' bereit, mit denen die Schwachstellen adressiert werden.

Version 9 (2019-07-22 13:10)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'libvirt' bereit, um die Schwachstellen zu beheben.

Version 10 (2020-01-13 18:17)

Canonical stellt korrespondierend zu USN-4047-1 ein Sicherheitsupdate für Ubuntu 14.04 ESM zur Behebung der Schwachstelle CVE-2019-10161 in 'libvirt' bereit.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Oracle
Virtualisierung
Hypervisor

Beschreibung:

Ein lokaler, einfach authentifizierter Angreifer kann mehrere Schwachstellen in libvirtd ausnutzen, um auf lokale Dateien zuzugreifen, diese auszuspähen oder zu verändern und dadurch beliebigen Programmcode mit den Rechten von libvirt zur Ausführung zu bringen oder einen Denial-of-Service (DoS)-Zustand zu bewirken.

Für Red Hat Enterprise Linux 7 in den Produktvarianten Desktop, Scientific Computing, Server, Workstation und for ARM, Server 7.6 AUS, EUS und TUS, EUS Compute Node (HPC) 7.6, Red Hat Virtualization - EUS 4.2 for RHEL 7.6 und Virtualization 4.3, Gluster Storage Server for On-premise 3 for RHEL 7 sowie für Red Hat Enterprise Linux for x86_64 8 und ARM 64 8 stehen Sicherheitsupdates bereit, um diese Schwachstellen zu beheben.

Zusätzlich wird ein Workaround empfohlen.

Schwachstellen:

CVE-2019-10161

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10166

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10167

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10168

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.