DFN-CERT

Advisory-Archiv

2020-0172: Libslirp, QEMU: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-01-27 12:48)
Neues Advisory
Version 2 (2020-01-31 10:10)
Durch die Nutzung von libslirp 4.1.0 in der QEMU Version 4.2.0 ist auch QEMU von der Schwachstelle betroffen. Debian stellt für Debian 8 Jessie (LTS) ein Sicherheitsupdate für 'qemu' auf die Version 1:2.1+dfsg-12+deb8u13 zur Verfügung, um die Schwachstelle zu adressieren.
Version 3 (2020-02-05 11:02)
Für Red Hat Enterprise Linux 8 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'container-tools:rhel8' adressiert wird.
Version 4 (2020-02-18 10:44)
Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'container-tools:ol8' adressiert wird.
Version 5 (2020-04-01 17:56)
Für die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop 7 sowie für Red Hat Enterprise Linux for Scientific Computing 7 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'qemu-kvm' bereit. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 7.8 zur Verfügung gestellt. Laut Red Hat kann die Schwachstelle für die eigenen Produkte nur lokal ausgenutzt werden.
Version 6 (2020-04-08 10:06)
Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für 'container-tools:1.0' zur Behebung der Schwachstelle bereit. Die Updates stehen unter anderem für Red Hat Enterprise Linux 8 und Red Hat Enterprise Linux - Extended Update Support 8.1 jeweils für x86_64- und ARM 64-Architekturen zur Verfügung.
Version 7 (2020-04-14 12:12)
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'qemu-kvm' bereit, um die aufgeführte Schwachstelle zu schließen.

Betroffene Software

Netzwerk
Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein lokaler Angreifer mit üblichen Benutzerrechten kann einen Denial-of-Service (DoS)-Angriff durchführen oder beliebigen Programmcode zur Ausführung bringen. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben.

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'slirp' auf Version 1:1.0.17-7+deb8u1 bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2020-7039

Schwachstelle in libslirp ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.