Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4137-1 libvirt

Säkerhetsbulletin från Debian

DSA-4137-1 libvirt -- säkerhetsuppdatering

Rapporterat den:

2018-03-14

Berörda paket:

libvirt

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2018-1064, CVE-2018-5748, CVE-2018-6764.

Ytterligare information:

Flera sårbarheter har upptäckts i Libvirt, ett virtualiseringsabstraktionsbibliotek:

• CVE-2018-1064

  Daniel Berrange upptäckte att QEMU-gästagenten utförde otillräcklig validering av inkommande data, vilket tillåter en priviligierad användare i gästen att förbruka resurser på virtualiseringsvärden, vilket resulterar i överbelastning.

• CVE-2018-5748

  Daneil Berrange och Peter Krempa upptäckte att QEMU-övervakaren var sårbar för överbelastning genom minnesförbrukning. Detta har redan rättats i Debian Stretch och påverkar endast Debian Jessie.

• CVE-2018-6764

  Pedro Sampaio upptäckte att LXC-behållare detekterade värdnamnet osäkert. Detta påverkar endast Debian Stretch.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 1.2.9-9+deb8u5.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 3.0.0-4+deb9u3.

Vi rekommenderar att ni uppgraderar era libvirt-paket.

För detaljerad säkerhetsstatus om libvirt vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/libvirt