Bulletin d'alerte Debian

DSA-4137-1 libvirt -- Mise à jour de sécurité

Date du rapport :
14 mars 2018
Paquets concernés :
libvirt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-1064, CVE-2018-5748, CVE-2018-6764.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Libvirt, une bibliothèque d'abstraction de virtualisation :

  • CVE-2018-1064

    Daniel Berrange a découvert que l'agent client de QEMU réalisait une validation insuffisante des données entrantes. Cela permet à un utilisateur privilégié dans le client d'épuiser les ressources dans l'hôte de virtualisation, avec pour conséquence un déni de service.

  • CVE-2018-5748

    Daniel Berrange et Peter Krempa ont découvert que le moniteur QEMU était vulnérable à un déni de service par surconsommation de mémoire. Cela a déjà été corrigé dans Debian Stretch et n'affecte que Debian Jessie.

  • CVE-2018-6764

    Pedro Sampaio a découvert que les conteneurs LXC ne détectaient pas les noms d'hôte de façon sûre. Cela n'affecte que Debian Stretch.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.2.9-9+deb8u5.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 3.0.0-4+deb9u3.

Nous vous recommandons de mettre à jour vos paquets libvirt.

Pour disposer d'un état détaillé sur la sécurité de libvirt, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libvirt