Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4137-1 libvirt

Bulletin d'alerte Debian

DSA-4137-1 libvirt -- Mise à jour de sécurité

Date du rapport :

14 mars 2018

Paquets concernés :

libvirt

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-1064, CVE-2018-5748, CVE-2018-6764.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Libvirt, une bibliothèque d'abstraction de virtualisation :

• CVE-2018-1064

  Daniel Berrange a découvert que l'agent client de QEMU réalisait une validation insuffisante des données entrantes. Cela permet à un utilisateur privilégié dans le client d'épuiser les ressources dans l'hôte de virtualisation, avec pour conséquence un déni de service.

• CVE-2018-5748

  Daniel Berrange et Peter Krempa ont découvert que le moniteur QEMU était vulnérable à un déni de service par surconsommation de mémoire. Cela a déjà été corrigé dans Debian Stretch et n'affecte que Debian Jessie.

• CVE-2018-6764

  Pedro Sampaio a découvert que les conteneurs LXC ne détectaient pas les noms d'hôte de façon sûre. Cela n'affecte que Debian Stretch.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.2.9-9+deb8u5.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 3.0.0-4+deb9u3.

Nous vous recommandons de mettre à jour vos paquets libvirt.

Pour disposer d'un état détaillé sur la sécurité de libvirt, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libvirt