Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2650-2 libvirt

Bulletin d'alerte Debian

DSA-2650-2 libvirt -- Propriété de fichiers et nœuds de périphérique modifiée au groupe kvm

Date du rapport :

17 mars 2013

Paquets concernés :

libvirt

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 701649.
Dans le dictionnaire CVE du Mitre : CVE-2013-1766.

Plus de précisions :

Bastian Blank a découvert que libvirtd, un démon pour gérer des machines, réseau et stockage virtuels, modifierait la propriété de fichiers de périphérique pour appartenir à l'utilisateur libvirt-qemu et au groupe kvm, qui est un groupe banalisé non spécifique à libvirt, permettant un accès en écriture à ces périphériques et fichiers aux membres du groupe kvm.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.8.3-5+squeeze5.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.9.12-11.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.12-11.

Nous vous recommandons de mettre à jour vos paquets libvirt.