セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2650-2 libvirt

Debian セキュリティ勧告

DSA-2650-2 libvirt -- ファイルおよびデバイスノードの所有が kvm グループに変更される

報告日時:

2013-03-17

影響を受けるパッケージ:

libvirt

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 701649.
Mitre の CVE 辞書: CVE-2013-1766.

詳細:

Bastian Blank さんが、仮想マシンやネットワーク、ストレージの管理デーモン libvirtd がデバイスファイルの所有を変更させていることを発見しました。 それによりユーザ libvirt-qemu、グループ kvm の所有となり、libvirt に特定しない一般目的のグループとなることで、 そういったデバイスやファイルへの意図しない書き込みアクセスを kvm グループのメンバーに許します。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 0.8.3-5+squeeze5 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 0.9.12-11 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.9.12-11 で修正されています。

直ちに libvirt パッケージをアップグレードすることを勧めます。