Säkerhetsbulletin från Debian

DSA-4469-1 libvirt -- säkerhetsuppdatering

Rapporterat den:
2019-06-22
Berörda paket:
libvirt
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-10161, CVE-2019-10167.
Ytterligare information:

Två sårbarheter upptäcktes i Libvirt, ett virtualiseringsabstraktionsbibliotek, som tillåter en API-klient med endast läsrättigheter att exekvering godtyckliga kommandon via APIet virConnectGetDomainCapabilities, eller läsa eller exekvera godtyckliga filer via APIet virDomainSaveImageGetXMLDesc.

Utöver detta libvirts cpukarta uppdaterades för att göra det lättare att adressera CVE-2018-3639, CVE-2017-5753, CVE-2017-5715, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 and CVE-2019-11091 genom att stödja CPU-funktionerna md-clear, ssbd, spec-ctrl och ibpb vid val av CPU-modeller utan att behöva gå tillbaks till värd-passthrough.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 3.0.0-4+deb9u4.

Vi rekommenderar att ni uppgraderar era libvirt-paket.

För detaljerad säkerhetsstatus om libvirt vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/libvirt