Debians sikkerhedsbulletin

DSA-4469-1 libvirt -- sikkerhedsopdatering

Rapporteret den:
22. jun 2019
Berørte pakker:
libvirt
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2019-10161, CVE-2019-10167.
Yderligere oplysninger:

To sårbarheder blev opdaget i Libvirt, et bibliotek til virtualiseringsabstraktion, hvilket gjorde det muligt for en API-klient kun med læserettigheder, at udføre vilkårlige kommandoer gennem API'et virConnectGetDomainCapabilities, eller læse eller udføre vilkårlige filer gennem API'et virDomainSaveImageGetXMLDesc API.

Desuden er libvirts CPU-kort blevet opdageret, for at gøre det lettere at løse CVE-2018-3639, CVE-2017-5753, CVE-2017-5715, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 og CVE-2019-11091, ved at understøtte CPU-funktionerne md-clear, ssbd, spec-ctrl og ibpb, når der vælges CPU-modeller, uden at skulle falde tilbage til værtsvidereførsel.

I den stabile distribution (stretch), er disse problemer rettet i version 3.0.0-4+deb9u4.

Vi anbefaler at du opgraderer dine libvirt-pakker.

For detaljeret sikkerhedsstatus vedrørende libvirt, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/libvirt