Bulletin d'alerte Debian

DSA-3038-1 libvirt -- Mise à jour de sécurité

Date du rapport :

27 septembre 2014

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 762203.
Dans le dictionnaire CVE du Mitre : CVE-2014-0179, CVE-2014-3633.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Libvirt, une bibliothèque d'abstraction de virtualisation. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

CVE-2014-0179
Richard Jones et Daniel P. Berrange ont découvert que libvirt passe l'option XML_PARSE_NOENT quand il analyse les documents XML en utilisant la bibliothèque libxml2, auquel cas, toutes les entités XML des documents analysés sont extraites. Un utilisateur pouvant forcer libvirtd à analyser un document XML avec une entité pointant vers un fichier spécial qui bloque les accès en lecture pourrait utiliser ce défaut pour forcer libvirtd à être indéfiniment suspendu, aboutissant à un déni de service à l'encontre du système.
CVE-2014-3633
Luyao Huang de Red Hat a découvert que l'implémentation de qemu virDomainGetBlockIoTune calculait un index dans le tableau des disques pour la définition éphémère, puis l'utilisait comme index dans le tableau des disques pour la définition persistante, ce qui pourrait résulter en un accès en lecture hors limites dans qemuDomainGetBlockIoTune().

Un attaquant distant, pouvant établir une connexion en lecture seule avec libvirtd, pourrait utiliser ce défaut pour faire planter libvirtd ou, éventuellement, provoquer une fuite de mémoire à partir du processus libvirtd.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.9.12.3-1+deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.2.8-2.

Nous vous recommandons de mettre à jour vos paquets libvirt.