Bulletin d'alerte Debian

DLA-1832-1 libvirt -- Mise à jour de sécurité pour LTS

Date du rapport :
24 juin 2019
Paquets concernés :
libvirt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-10161, CVE-2019-10167.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans libvirt, une API d’abstraction pour divers mécanismes de virtualisation.< />

  • CVE-2019-10161

    Des clients, avec les droits de lecture seuls, pourraient utiliser l’API pour indiquer un chemin arbitraire qui pourrait être accédé avec les permissions du processus libvirtd. Un attaquant ayant accès à la socket de libvirtd pourrait utiliser cela pour enquêter sur l’existence de fichiers arbitraires, causer un déni de service ou autrement faire que libvirtd exécute des programmes arbitraires.

  • CVE-2019-10167

    Une vulnérabilité d’exécution de code arbitraire à l’aide de l’API où un binaire précisé par l’utilisateur est utilisé pour enquêter sur les capacités de domaine. Des clients, avec les droits de lecture seuls, pourraient indiquer un chemin arbitraire pour cet argument, faisant que libvirtd exécute un exécutable contrefait avec ses propres privilèges.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.2.9-9+deb8u7.

Nous vous recommandons de mettre à jour vos paquets libvirt.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.