Debians sikkerhedsbulletin

DSA-4137-1 libvirt -- sikkerhedsopdatering

Rapporteret den:
14. mar 2018
Berørte pakker:
libvirt
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2018-1064, CVE-2018-5748, CVE-2018-6764.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Libvirt, et virtualiseringsabstraktionsbibliotek:

  • CVE-2018-1064

    Daniel Berrange opdagede at QEMU-gæsteagenten udførte utilstrækkelig validering af indkommende data, hvilket gjorde det muligt for en priviligeret bruger hos gæsten, at udmatte ressourcer på den virtuelle vært, medførende lammelsesangreb guest agent performed insufficient validation of incom.

  • CVE-2018-5748

    Daniel Berrange og Peter Krempa opdagede at QEMU's monitor var ramt af et lammelsesangreb gennem hukommelsesudmattelse. Det er allerede rettet i Debian stretch, og påvirker kun Debian jessie.

  • CVE-2018-6764

    Pedro Sampaio opdagede at LXC-containere opdagede værtsnavnet på usikker vis. Det påvirker kun Debian stretch.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 1.2.9-9+deb8u5.

I den stabile distribution (stretch), er disse problemer rettet i version 3.0.0-4+deb9u3.

Vi anbefaler at du opgraderer dine libvirt-pakker.

For detaljeret sikkerhedsstatus vedrørende libvirt, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libvirt