Bulletin d'alerte Debian
DSA-4137-1 libvirt -- Mise à jour de sécurité
- Date du rapport :
- 14 mars 2018
- Paquets concernés :
- libvirt
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-1064, CVE-2018-5748, CVE-2018-6764.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Libvirt, une bibliothèque d'abstraction de virtualisation :
- CVE-2018-1064
Daniel Berrange a découvert que l'agent client de QEMU réalisait une validation insuffisante des données entrantes. Cela permet à un utilisateur privilégié dans le client d'épuiser les ressources dans l'hôte de virtualisation, avec pour conséquence un déni de service.
- CVE-2018-5748
Daniel Berrange et Peter Krempa ont découvert que le moniteur QEMU était vulnérable à un déni de service par surconsommation de mémoire. Cela a déjà été corrigé dans Debian Stretch et n'affecte que Debian Jessie.
- CVE-2018-6764
Pedro Sampaio a découvert que les conteneurs LXC ne détectaient pas les noms d'hôte de façon sûre. Cela n'affecte que Debian Stretch.
Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.2.9-9+deb8u5.
Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 3.0.0-4+deb9u3.
Nous vous recommandons de mettre à jour vos paquets libvirt.
Pour disposer d'un état détaillé sur la sécurité de libvirt, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libvirt
- CVE-2018-1064