Säkerhetsbulletin från Debian

DSA-4137-1 libvirt -- säkerhetsuppdatering

Rapporterat den:
2018-03-14
Berörda paket:
libvirt
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2018-1064, CVE-2018-5748, CVE-2018-6764.
Ytterligare information:

Flera sårbarheter har upptäckts i Libvirt, ett virtualiseringsabstraktionsbibliotek:

  • CVE-2018-1064

    Daniel Berrange upptäckte att QEMU-gästagenten utförde otillräcklig validering av inkommande data, vilket tillåter en priviligierad användare i gästen att förbruka resurser på virtualiseringsvärden, vilket resulterar i överbelastning.

  • CVE-2018-5748

    Daneil Berrange och Peter Krempa upptäckte att QEMU-övervakaren var sårbar för överbelastning genom minnesförbrukning. Detta har redan rättats i Debian Stretch och påverkar endast Debian Jessie.

  • CVE-2018-6764

    Pedro Sampaio upptäckte att LXC-behållare detekterade värdnamnet osäkert. Detta påverkar endast Debian Stretch.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 1.2.9-9+deb8u5.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 3.0.0-4+deb9u3.

Vi rekommenderar att ni uppgraderar era libvirt-paket.

För detaljerad säkerhetsstatus om libvirt vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/libvirt