Aviso de seguridad de Debian

DSA-4137-1 libvirt -- actualización de seguridad

Fecha del informe:
14 de mar de 2018
Paquetes afectados:
libvirt
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2018-1064, CVE-2018-5748, CVE-2018-6764.
Información adicional:

Se descubrieron varias vulnerabilidades en Libvirt, una biblioteca de abstracción de virtualización:

  • CVE-2018-1064

    Daniel Berrange descubrió que el agente de huéspedes de QEMU no realizaba las suficientes validaciones de los datos de entrada, lo que permite que un usuario con privilegios en la máquina huésped agote los recursos de la máquina anfitriona, dando lugar a denegación de servicio.

  • CVE-2018-5748

    Daniel Berrange y Peter Krempa descubrieron que el monitor de QEMU era susceptible de denegación de servicio por agotamiento de memoria. Esto ya estaba corregido en Debian stretch, así que solo afecta a Debian jessie.

  • CVE-2018-6764

    Pedro Sampaio descubrió que los contenedores LXC detectaban el nombre de máquina («hostname») de forma insegura. Esto solamente afecta a Debian stretch.

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 1.2.9-9+deb8u5.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 3.0.0-4+deb9u3.

Le recomendamos que actualice los paquetes de libvirt.

Para información detallada sobre el estado de seguridad de libvirt consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/libvirt