2021-1420: QEMU: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
Historie:
- Version 1 (2021-07-01 19:27)
- Neues Advisory
- Version 2 (2021-07-14 15:09)
- Zur Behebung der Schwachstellen veröffentlicht openSUSE ein Sicherheitsupdate für die Distribution openSUSE Leap 15.3.
Betroffene Software
Virtualisierung
Betroffene Plattformen
Linux
Container
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, beliebigen Programmcode mit den Rechten des QEMU-Prozesses auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung aller Schwachstellen kann Einfluss auf andere Komponenten haben.
SUSE stellt für SUSE MicroOS 5.0, SUSE Linux Enterprise Module for Server Applications 15 SP2 und SP3 sowie SUSE Linux Enterprise Module for Basesystem 15 SP2 und SP3 Sicherheitsupdates zur Behebung der Schwachstellen in QEMU bereit.
Laut SUSE ist die schwerwiegendste Konsequenz der Schwachstellen für die eigenen Produkte ein Denial-of-Service (DoS)-Angriff durch einen privilegierten Angreifer aus der Ferne.
Schwachstellen:
CVE-2021-3544
Schwachstellen in QEMU ermöglichen Denial-of-Service-AngriffeCVE-2021-3545
Schwachstelle in QEMU ermöglicht Ausspähen von InformationenCVE-2021-3546
Schwachstelle in QEMU ermöglicht u. a. Ausführen beliebigen Programmcodes mit den Rechten des Dienstes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.