Bulletin d'alerte Debian

DSA-4469-1 libvirt -- Mise à jour de sécurité

Date du rapport :
22 juin 2019
Paquets concernés :
libvirt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-10161, CVE-2019-10167.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans Libvirt, une bibliothèque d'abstraction de virtualisation, permettant à un client de l'API, doté uniquement de droits en lecture, d'exécuter des commandes arbitraires au moyen de l'API virConnectGetDomainCapabilities, ou de lire ou d'exécuter des fichiers arbitraires au moyen de l'API virDomainSaveImageGetXMLDesc.

En complément, les paramètres cpu-map de libvirt ont été mis à jour pour faciliter le traitement de CVE-2018-3639, CVE-2017-5753, CVE-2017-5715, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091 par la prise en charge des fonctions md-clear, ssbd, spec-ctrl et ibpb du processeur lorsqu'on sélectionne des modèles de processeur sans avoir à se replier sur le tunnel de l'hôte (« host-passthrough »).

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 3.0.0-4+deb9u4.

Nous vous recommandons de mettre à jour vos paquets libvirt.

Pour disposer d'un état détaillé sur la sécurité de libvirt, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libvirt.