QEMU-KVM kwetsbaar voor heap overflow

Er bevindt zich een heap-based buffer-overflow kwetsbaarheid in de QEMU-KVM virtualisatie software. Diverse Linux distributies hebben updates beschikbaar gesteld waarmee de kwetsbaarheid kan worden verholpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : QEMU-KVM kwetsbaar voor heap overflow
Advisory ID     : NCSC-2012-0047
Versie          : 1.02
Kans            : medium
CVE ID          : CVE-2012-0029
                  (http://cve.mitre.org/cve/)
Schade          : medium
                  Denial of Service (DoS)
                  Remote code execution (Gebruikersrechten)
Uitgiftedatum   : 20120206
Toepassing      : Red Hat KVM
Versie(s)       : 
Platform(s)     : CentOS
                  RedHat
                  Ubuntu

Update
   Debian heeft updates beschikbaar gesteld van qemu-dm om de
   kwetsbaarheid te verhelpen. Zie "Mogelijke oplossingen" voor meer
   informatie.

Samenvatting
   Er bevindt zich een heap-based buffer-overflow kwetsbaarheid in de
   QEMU-KVM virtualisatie software. Diverse Linux distributies hebben
   updates beschikbaar gesteld waarmee de kwetsbaarheid kan worden
   verholpen.

Gevolgen
   Wanneer kwaadwillenden misbruik weten te maken van de gevonden
   kwetsbaarheid, kan dit tot gevolg hebben dat de applicatie crashed.
   Mogelijk kan uitbuiting ook leiden tot het uitvoeren van
   willekeurige code met de rechten van de gebruiker.

Beschrijving
   CVE-2012-0029
   Er bevindt zich een heap overflow kwetsbaarheid in QEMU-KVM wanneer
   de virtual machine is geconfigureerd om de e1000 netwerkkaart te
   emuleren. Door het sturen van speciaal aangepaste netwerkpakketten
   kan de virtual machine crashen. Mogelijk kan er ook willekeurige
   code worden uitgevoerd.

Mogelijke oplossingen
   Diverse Linux distributies hebben updates beschikbaar gesteld om de
   kwetsbaarheid te verhelpen.
   
   -= CentOS =-
   CentOS heeft updates uitgebracht voor CentOS 5 en 6 om de
   kwetsbaarheid te verhelpen. U kunt de updates installeren door
   gebruik te maken van up2date of yum. Voor meer informatie en een
   eventueel handmatige installatie, zie:
   
   http://permalink.gmane.org/gmane.linux.centos.announce/6387
   http://permalink.gmane.org/gmane.linux.centos.announce/6381
   
   -= Debian =-
   Debian heeft updates van qemu-kvm beschikbaar gesteld voor Debian
   6.0 (squeeze) om de kwetsbaarheden te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   http://www.debian.org/security/2012/dsa-2396
   
   Debian heeft tevens updates van qemu-dm beschikbaar gesteld voor
   Debian 6.0 (squeeze) om de kwetsbaarheden te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   http://www.debian.org/security/2012/dsa-2404
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gemaakt voor Red Hat 5 en 6. U
   kunt deze updates installeren met behulp van het commando 'up2date'
   of 'yum'. Meer informatie over deze updates en over een eventueel
   handmatige installatie vindt u op:
   
   https://rhn.redhat.com/errata/RHSA-2012-0050.html
   https://rhn.redhat.com/errata/RHSA-2012-0051.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 10.04 LTS,
   10.10, 11.04 en 11.10 om de kwetsbaarheid te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   http://www.ubuntu.com/usn/usn-1339-1/

Hyperlinks
   https://rhn.redhat.com/errata/RHSA-2012-0050.html
   https://rhn.redhat.com/errata/RHSA-2012-0051.html
   http://www.ubuntu.com/usn/usn-1339-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 10.1.1 (Build 10)
Charset: utf-8

wlcDBQFPL/s8Q+C/3OQykckRCFPWAP9E4bIQOTNv0fPHqH+YvVUqWuOlB5BIfCNi
qqlOLI29FgD+NX0zF4QXG5y2m6oWlIlsMZGoNFS0vFsSuszKlZzV8Io=
=c/GS
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig