Sikkerhedsoplysninger / 2019 / Sikkerhedsoplysninger -- DSA-4469-1 libvirt

Debians sikkerhedsbulletin

DSA-4469-1 libvirt -- sikkerhedsopdatering

Rapporteret den:

22. jun 2019

Berørte pakker:

libvirt

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2019-10161, CVE-2019-10167.

Yderligere oplysninger:

To sårbarheder blev opdaget i Libvirt, et bibliotek til virtualiseringsabstraktion, hvilket gjorde det muligt for en API-klient kun med læserettigheder, at udføre vilkårlige kommandoer gennem API'et virConnectGetDomainCapabilities, eller læse eller udføre vilkårlige filer gennem API'et virDomainSaveImageGetXMLDesc API.

Desuden er libvirts CPU-kort blevet opdageret, for at gøre det lettere at løse CVE-2018-3639, CVE-2017-5753, CVE-2017-5715, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 og CVE-2019-11091, ved at understøtte CPU-funktionerne md-clear, ssbd, spec-ctrl og ibpb, når der vælges CPU-modeller, uden at skulle falde tilbage til værtsvidereførsel.

I den stabile distribution (stretch), er disse problemer rettet i version 3.0.0-4+deb9u4.

Vi anbefaler at du opgraderer dine libvirt-pakker.

For detaljeret sikkerhedsstatus vedrørende libvirt, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/libvirt