Bulletin d'alerte Debian

DSA-2650-2 libvirt -- Propriété de fichiers et nœuds de périphérique modifiée au groupe kvm

Date du rapport :
17 mars 2013
Paquets concernés :
libvirt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 701649.
Dans le dictionnaire CVE du Mitre : CVE-2013-1766.
Plus de précisions :

Bastian Blank a découvert que libvirtd, un démon pour gérer des machines, réseau et stockage virtuels, modifierait la propriété de fichiers de périphérique pour appartenir à l'utilisateur libvirt-qemu et au groupe kvm, qui est un groupe banalisé non spécifique à libvirt, permettant un accès en écriture à ces périphériques et fichiers aux membres du groupe kvm.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.8.3-5+squeeze5.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.9.12-11.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.12-11.

Nous vous recommandons de mettre à jour vos paquets libvirt.