Article ID: 116086, created on May 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor 5.0

Beschreibung der Sicherheitslücke

In Linux-Kernel (CVE-2013-2094) wurde unlängst eine Sicherheitslücke erkannt. Durch diese Sicherheitslücke können lokalen User möglicherweise Root-Berechtigungen erhalten. (Zero-Day-Exploit).

Betroffene Produkte

Nachfolgende Produkte und Versionen sind von dieser Sicherheitslücke betroffen: Parallels Virtuozzo Containers for Linux v4.7, Parallels Server Bare Metal v5.0 und Parallels Cloud Server v6.0. Parallels liefert einen eigenen Linux-Kernel als Bestandteil der genannten Produkte
 
Von dieser Sicherheitslücke können auch andere Linux-Hosts, wie etwa Hosts, die auf Red Hat, CentOS, Debian und anderen Linux-Distributionen laufen, betroffen sein. Bei weiteren Fragen, bitten wir Sie sich den unten aufgeführten Abschnitt “Weiterführende nützliche Links” anzusehen.
 
Bitte beachten Sie: Parallels Virtuozzo Containers for Linux v4.0 und 4.6 sind von dieser Sicherheitslücke NICHT betroffen.

Auswirkungen der Sicherheitslücke

- Erweiterung von Privilegien, d.h. jeder lokale User kann Root-Berechtigungen erlangen.
- Der Exploit ist “in the wild” zugänglich

Voraussetzungen, um die Sicherheitslücke auszunutzen

- Ein lokaler User-Account ist erforderlich, um die Sicherheitslücke nutzen zu können (Kein Remote-Zugriff möglich)

Empfehlungen

Es wird allen Kunden empfohlen den Kernel für Parallels Produkt so schnell wie möglich zu aktualisieren. Empfohlene Parallels Kernel-Versionen sind: Parallels Kernel-Version 2.6.32-042stab076.8 oder eine spätere Version für PVC, PSBM und PCS Produkte.
 
Den Kunden wird geraten das Kernel-Update für andere Linux-Hosts durchzuführen, sobald dieses vom Anbieter zur Verfügung gestellt wird.
- Red Hat for Red Hat Enterprise Linux (Update von Red Hat ist noch ausstehend)
- Andere Linux-Anbieter

Links für Parallels Updates

Updates für betroffene Parallels Produkte stehen via den nachfolgend aufgeführten Links zur Verfügung:
 
Parallels Virtuozzo Containers for Linux 4.7 http://kb.sp.parallels.com/de/116084
Parallels Server Bare Metal 5.0 http://kb.sp.parallels.com/de/116085
Parallels Cloud Server 6.0 http://kb.sp.parallels.com/de/116087

Weiterführende nützliche Links

* VSicherheitslücken-ID: CVE-2013-2094, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2094
* RHEL 6.x bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=962792
* Fedora bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=962799
* Debian: https://security-tracker.debian.org/tracker/CVE-2013-2094

0c05f0c76fec3dd785e9feafce1099a9 2897d76d56d2010f4e3a28f864d69223 d02f9caf3e11b191a38179103495106f e8e50b42231236b82df27684e7ec0beb c662da62f00df94fd77ba7a2c9eff4b4 a26b38f94253cdfbf1028d72cf3a498b c62e8726973f80975db0531f1ed5c6a2 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article
Save as PDF