Aviso de seguridad de Debian

DSA-4469-1 libvirt -- actualización de seguridad

Fecha del informe:
22 de jun de 2019
Paquetes afectados:
libvirt
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2019-10161, CVE-2019-10167.
Información adicional:

Se descubrieron dos vulnerabilidades en Libvirt, una biblioteca de abstracción de virtualización, que permitían que un cliente de las API con permisos de solo lectura ejecutara órdenes arbitrarias a través de la API virConnectGetDomainCapabilities o leyera o ejecutara ficheros arbitrarios a través de la API virDomainSaveImageGetXMLDesc.

Adicionalmente, se actualizó el conjunto de características de las cpu en libvirt para hacer más sencilla la corrección de CVE-2018-3639, CVE-2017-5753, CVE-2017-5715, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 y CVE-2019-11091 añadiendo soporte para las funcionalidades de CPU md-clear, ssbd, spec-ctrl e ibpb al escoger modelos de CPU, sin necesidad de trasladárselas al anfitrión.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 3.0.0-4+deb9u4.

Le recomendamos que actualice los paquetes de libvirt.

Para información detallada sobre el estado de seguridad de libvirt, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/libvirt