Информация по безопасности / 2013 / Информация о безопасности -- DSA-2650-2 libvirt

Рекомендация Debian по безопасности

DSA-2650-2 libvirt -- изменения владельца файлов и нод устройств на группа kvm

Дата сообщения:

17.03.2013

Затронутые пакеты:

libvirt

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 701649.
В каталоге Mitre CVE: CVE-2013-1766.

Более подробная информация:

Бастиан Бланк обнаружил, что libvirtd, служба управления виртуальными машинами, сетью и хранилищем, изменяет владельца файлов устройств так, что они переходят под владение пользователя libvirt-qemu и группы kvm, которая является общей группой, не связанной непосредственно с libvirt, что позволяет осуществлять ненамеренный доступ с правом записи к этим устройствам и файлам для членов группы kvm.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.8.3-5+squeeze5.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 0.9.12-11.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.9.12-11.

Рекомендуется обновить пакеты libvirt.