데비안 보안 권고

DSA-4469-1 libvirt -- 보안 업데이트

보고일:
2019년 06월 22일
영향 받는 패키지:
libvirt
위험성:
보안 데이터베이스 참조:
Mitre의 CVE 사전: CVE-2019-10161, CVE-2019-10167.
추가 정보:

libvirt에서 두 취약점을 발견했으며, 읽기 전용 권한이있는 API 클라이언트가 virConnectGetDomainCapabilities API를 통해 임의의 명령을 실행하거나, API를 통해 임의의 파일을 읽거나 실행할 수 있습니다.

Additionally the libvirt's cpu map was updated to make addressing CVE-2018-3639, CVE-2017-5753, CVE-2017-5715, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 and CVE-2019-11091 easier by supporting the md-clear, ssbd, spec-ctrl and ibpb CPU features when picking CPU models without having to fall back to host-passthrough.

안정배포(stretch)에서, 이 문제를 버전 3.0.0-4+deb9u4에서 고쳤습니다.

libvirt 패키지를 업그레이드 하는 게 좋습니다.

libvirt 의 자세한 보안 상태는 보안 추적 페이지 참조: https://security-tracker.debian.org/tracker/libvirt