Рекомендация Debian по безопасности

DSA-4137-1 libvirt -- обновление безопасности

Дата сообщения:
14.03.2018
Затронутые пакеты:
libvirt
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2018-1064, CVE-2018-5748, CVE-2018-6764.
Более подробная информация:

В Libvirt, библиотеки абстракций для виртуализации, было обнаружено несколько уязвимостей:

  • CVE-2018-1064

    Дэниель Беранж обнаружил, что гостевой агент QEMU выполняет недостаточные проверки входящих данных, что позволяет привилегированному пользователю гостевой системы чрезмерно потреблять ресурсы узла виртуализации, что приводит к отказу в обслуживании.

  • CVE-2018-5748

    Дэниель Беранж и Петер Кремпа обнаружили, что QEMU-монитор предположительно уязвим к отказу в обслуживании из-за исчерпания памяти. Эта проблема уже исправлена в Debian stretch и касается только Debian jessie.

  • CVE-2018-6764

    Педро Сампайо обнаружил, что LXC-контейнеры определяют имя узла небезопасным образом. Эта уязвимость касается только Debian stretch.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.2.9-9+deb8u5.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 3.0.0-4+deb9u3.

Рекомендуется обновить пакеты libvirt.

С подробным статусом поддержки безопасности libvirt можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/libvirt