2019-1270: libvirt: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-06-24 12:16)

Neues Advisory

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, einfach authentifizierter Angreifer kann mehrere Schwachstellen in libvirtd ausnutzen, um auf lokale Dateien zuzugreifen, diese auszuspähen oder zu verändern und dadurch beliebigen Programmcode mit den Rechten von libvirt zur Ausführung zu bringen oder einen Denial-of-Service (DoS)-Angriff durchzuführen. Eine weitere Schwachstelle (CVE-2019-10132) ermöglicht einem lokalen, nicht authentisierten Angreifer die Eskalation seiner Privilegien. Ein nicht authentisierter Angreifer im benachbarten Netzwerk kann darüber hinaus Informationen ausspähen oder einen Denial-of-Service (DoS)-Zustand herbeiführen.

Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete 'libvirt-4.7.0-5.fc29' und 'libvirt-5.1.0-9.fc30' im Status 'testing' bereit. Die Schwachstelle CVE-2019-10132 wird dabei nur für Fedora 29 adressiert.

Schwachstellen:

CVE-2019-10132

Schwachstelle in libvirt ermöglicht Privilegieneskalation

CVE-2019-10161

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10166

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10167

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10168

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-3886

Schwachstelle in libvirt ermöglicht u. a. Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.