Debians sikkerhedsbulletin
DSA-4469-1 libvirt -- sikkerhedsopdatering
- Rapporteret den:
- 22. jun 2019
- Berørte pakker:
- libvirt
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2019-10161, CVE-2019-10167.
- Yderligere oplysninger:
-
To sårbarheder blev opdaget i Libvirt, et bibliotek til virtualiseringsabstraktion, hvilket gjorde det muligt for en API-klient kun med læserettigheder, at udføre vilkårlige kommandoer gennem API'et virConnectGetDomainCapabilities, eller læse eller udføre vilkårlige filer gennem API'et virDomainSaveImageGetXMLDesc API.
Desuden er libvirts CPU-kort blevet opdageret, for at gøre det lettere at løse CVE-2018-3639, CVE-2017-5753, CVE-2017-5715, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 og CVE-2019-11091, ved at understøtte CPU-funktionerne md-clear, ssbd, spec-ctrl og ibpb, når der vælges CPU-modeller, uden at skulle falde tilbage til værtsvidereførsel.
I den stabile distribution (stretch), er disse problemer rettet i version 3.0.0-4+deb9u4.
Vi anbefaler at du opgraderer dine libvirt-pakker.
For detaljeret sikkerhedsstatus vedrørende libvirt, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/libvirt