📚 libvirt bis 1.2.14 virStorageVolCreateXML API Crash Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 82388
Betroffen: libvirt bis 1.2.14
Veröffentlicht: 14.04.2016
Risiko: problematisch
Erstellt: 15.04.2016
Eintrag: 66.2% komplett
Beschreibung
Eine problematische Schwachstelle wurde in libvirt bis 1.2.14 entdeckt. Betroffen davon ist eine unbekannte Funktion der Komponente virStorageVolCreateXML API. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Crash) ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Verfügbarkeit. CVE fasst zusammen:
The virStorageVolCreateXML API in libvirt 1.2.14 through 1.2.19 allows remote authenticated users with a read-write connection to cause a denial of service (libvirtd crash) by triggering a failed unlink after creating a volume on a root_squash NFS pool.
Die Schwachstelle wurde am 14.04.2016 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2015-5247 statt. Der Angriff kann über das Netzwerk passieren. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 87888 (Ubuntu 12.04 LTS / 14.04 / 15.04 / 15.10 : libvirt vulnerabilities (USN-2867-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Ubuntu Local Security Checks zugeordnet.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Schwachstellen ähnlicher Art sind dokumentiert unter 82386.
CVSS
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
- cpe:/a:libvirt:libvirt:1.2.0
- cpe:/a:libvirt:libvirt:1.2.1
- cpe:/a:libvirt:libvirt:1.2.2
- cpe:/a:libvirt:libvirt:1.2.3
- cpe:/a:libvirt:libvirt:1.2.4
- cpe:/a:libvirt:libvirt:1.2.5
- cpe:/a:libvirt:libvirt:1.2.6
- cpe:/a:libvirt:libvirt:1.2.7
- cpe:/a:libvirt:libvirt:1.2.8
- cpe:/a:libvirt:libvirt:1.2.9
- cpe:/a:libvirt:libvirt:1.2.10
- cpe:/a:libvirt:libvirt:1.2.11
- cpe:/a:libvirt:libvirt:1.2.12
- cpe:/a:libvirt:libvirt:1.2.13
- cpe:/a:libvirt:libvirt:1.2.14
Exploiting
Klasse: Denial of Service
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $1k-$2k (Heute)
Nessus ID: 87888
Nessus Name: Ubuntu 12.04 LTS / 14.04 / 15.04 / 15.10 : libvirt vulnerabilities (USN-2867-1)
Nessus File: ubuntu_USN-2867-1.nasl
Nessus Family: Ubuntu Local Security Checks
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
14.04.2016 | Advisory veröffentlicht
15.04.2016 | VulDB Eintrag erstellt
15.04.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-5247 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 82386
...