DFN-CERT

Advisory-Archiv

2019-1279: libvirt: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-06-24 15:16)
Neues Advisory
Version 2 (2019-06-25 12:27)
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'libvirt' auf Version 1.2.9-9+deb8u7 zur Behebung der Schwachstellen bereit.
Version 3 (2019-08-12 12:11)
Für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP2 LTSS und Server for SAP 12 SP2 sowie SUSE OpenStack Cloud 7 und Enterprise Storage 4 stehen Sicherheitsupdates für libvirt bereit, welche die beiden Schwachstellen und einen nicht sicherheitsrelevanten Fehler beheben.
Version 4 (2019-08-28 18:50)
Für SUSE Linux Enterprise Server 12 SP3 LTSS und Server for SAP 12 SP3 sowie SUSE OpenStack Cloud 8, OpenStack Cloud Crowbar 8 und Enterprise Storage 5 stehen Sicherheitsupdates für libvirt bereit, welche die beiden Schwachstellen und zwei nicht sicherheitsrelevante Fehler beheben.
Version 5 (2019-09-12 14:20)
SUSE veröffentlicht weitere Sicherheitsupdates, diesmal für aarch64, für SUSE Linux Enterprise Server 12 SP3 LTSS und Enterprise Storage 5 und stellt außerdem Sicherheitsupdates für libvirt für SUSE Linux Enterprise Server 12 SP3 BCL bereit.

Betroffene Software

Systemsoftware
Virtualisierung

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein lokaler, einfach authentifizierter Angreifer kann zwei Schwachstellen in libvirt ausnutzen, um die Existenz lokaler Dateien zu prüfen, einen Denial-of-Service (DoS)-Angriff durchzuführen und beliebigen Programmcode zur Ausführung zu bringen.

Für Debian Stretch (stable) steht ein Sicherheitsupdate zur Behebung der Schwachstellen bereit. Durch dieses Update werden zusätzlich Mitigationen gegen in der Vergangenheit veröffentlichte Seitenkanalangriffe auf spekulative CPU-Funktionalitäten eingeführt (CVE-2018-3639, CVE-2017-5753, CVE-2017-5715, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 und CVE-2019-11091). Diese können über die neuen CPU-Flags 'md-clear', 'ssbd', 'spec-ctrl' und 'ibpb' gesteuert werden.

Schwachstellen:

CVE-2019-10161

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-10167

Schwachstelle in libvirt ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.