-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheid verholpen in libslirp
Advisory ID : NCSC-2020-0067
Versie : 1.00
Kans : medium
CVE ID : CVE-2020-7039
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20200127
Toepassing : QEMU
Versie(s) :
Platform(s) :
Beschrijving
Er is een kwetsbaarheid verholpen in libslirp. libslirp Is een
software-bibliotheek die emulatie van netwerkverkeer mogelijk maakt
en wordt onder andere toegepast in QEMU. Een beveiligingsonderzoeker
heeft aangetoond dat het mogelijk is een Denial-of-Service te
veroorzaken op een QEMU-proces door malafide DCC-commandos uit het
IRC-protocol naar het QEMU-proces te versturen. De mogelijkheid
bestaat dat een kwaadwillende naast het veroorzaken van een
Denial-of-Service ook willekeurige code kan uitvoeren onder rechten
van het QEMU-proces.
Mogelijke oplossingen
De ontwikkelaars van libslirp hebben patches uitgebracht om de
kwetsbaarheid te verhelpen. Meer informatie kunt u vinden op
onderstaande pagina's:
Fix oob access:
https://gitlab.freedesktop.org/slirp/libslirp/commit
/2655fffed7a9e765bcb4701dd876e9dab975f289
Slirp: use correct size while emulating commands:
https://gitlab.freedesktop.org/slirp/libslirp/commit
/82ebe9c370a0e2970fb5695aa19aa5214a6a1c80
Slirp: use correct size while emulating IRC commands:
https://gitlab.freedesktop.org/slirp/libslirp/commit
/ce131029d6d4a405cb7d3ac6716d03e58fb4a5d9
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8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=arNt
-----END PGP SIGNATURE-----
