-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in libslirp Advisory ID : NCSC-2020-0067 Versie : 1.00 Kans : medium CVE ID : CVE-2020-7039 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Denial-of-Service (DoS) (Remote) code execution (Gebruikersrechten) Uitgiftedatum : 20200127 Toepassing : QEMU Versie(s) : Platform(s) : Beschrijving Er is een kwetsbaarheid verholpen in libslirp. libslirp Is een software-bibliotheek die emulatie van netwerkverkeer mogelijk maakt en wordt onder andere toegepast in QEMU. Een beveiligingsonderzoeker heeft aangetoond dat het mogelijk is een Denial-of-Service te veroorzaken op een QEMU-proces door malafide DCC-commandos uit het IRC-protocol naar het QEMU-proces te versturen. De mogelijkheid bestaat dat een kwaadwillende naast het veroorzaken van een Denial-of-Service ook willekeurige code kan uitvoeren onder rechten van het QEMU-proces. Mogelijke oplossingen De ontwikkelaars van libslirp hebben patches uitgebracht om de kwetsbaarheid te verhelpen. Meer informatie kunt u vinden op onderstaande pagina's: Fix oob access: https://gitlab.freedesktop.org/slirp/libslirp/commit /2655fffed7a9e765bcb4701dd876e9dab975f289 Slirp: use correct size while emulating commands: https://gitlab.freedesktop.org/slirp/libslirp/commit /82ebe9c370a0e2970fb5695aa19aa5214a6a1c80 Slirp: use correct size while emulating IRC commands: https://gitlab.freedesktop.org/slirp/libslirp/commit /ce131029d6d4a405cb7d3ac6716d03e58fb4a5d9 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 502) Charset: utf-8 wsDVAwUBXi6//E/4qUtG/lqjAQoOjwwAgzdxb5Rvd+hA8tXug/dPk0qjLM/+Mt4G VA4FjW7F1oyMQj/LnZOdgnpl3D2/HtHUVEMrojyHLYvLkqtU3iJlldx8T88nyQ9N pd8WxWQ7EiPwipyazA2Sz2/FLJexhh3WB/3rxE3PD3k6HPtgAabZTN1EkMJZseub MD88bqZVucCngtwr1dH4dvNmU9XzBUDEvY7XunpZnn+PiDjGeKeK07W+yF/+Aoj3 sOmiQf2BXRVJWgQGxWAegS+NJlvPoaX+iapX6lb8DGQZ0UUPA8SEYQiKqmuAOOWa EYfXk2VNAl1kgGmXN0tNMYo8jwc8hU3/uuW1J7ka4MGWwJST3+980kQGrNdBgUwg 4PdOy+ZBbXpLqUdrJf75N0hBGz7e0P6MXsOiSHLWqBbuN84n7WOedXVrH1gpoTsm 6BhMBuNlZNTUtWG1mVjzuGYHIyIZ4ZR88ahVYZsrsuPb8UkUDonvpu7iMscKku0T gsR4GN1IQqmdmuqrMsmiM9Ef7LMjc1zD =arNt -----END PGP SIGNATURE-----