Xen ‘qemu-ga’不安全文件权限漏洞

漏洞信息详情

Xen ‘qemu-ga’不安全文件权限漏洞

• CNNVD编号：CNNVD-201305-159
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-2007
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2013-05-14
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2013-05-23
  
• 厂        商：
  
  qemu
• 漏洞来源：
  Xen

QEMU（又名Quick Emulator）是法国程序员法布里斯-贝拉（Fabrice Bellard）所研发的一套模拟处理器软件。该软件具有速度快、跨平台等特点。

Xen所用的Qemu 1.4.1和之前的版本中的qemu客户端代理中存在漏洞，该漏洞源于在启用守护进程模式的情况下，程序对某些文件使用了弱权限。本地攻击者可利用该漏洞读取和写入这些文件。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://bugzilla.redhat.com/show_bug.cgi?id=956082

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=956082

来源: XF

名称: qemu-cve20132007-priv-esc(84047)

链接:http://xforce.iss.net/xforce/xfdb/84047

来源: SECTRACK

名称: 1028521

链接:http://www.securitytracker.com/id/1028521

来源: BID

名称: 59675

链接:http://www.securityfocus.com/bid/59675

来源: MLIST

名称: [oss-security] 20130506 Xen Security Advisory 51 (CVE-2013-2007) – qemu guest agent (qga) insecure file permissions

链接:http://www.openwall.com/lists/oss-security/2013/05/06/5

来源: SECUNIA

名称: 53325

链接:http://secunia.com/advisories/53325

来源: OSVDB

名称: 93032

链接:http://osvdb.org/93032

来源: git.qemu.org

链接:http://git.qemu.org/?p=qemu.git;a=commit;h=c689b4f1bac352dcfd6ecb9a1d45337de0f1de67