Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
vzctl
(any)
Описание
Было обнаружено, что vzctl, набор управляющих инструментов для сервера
виртуализации OpenVZ, определяет топологию хранилища
контейнеров на основе наличия файла XML внутри контейнера.
Злоумышленник с локальными правами суперпользователя в контейнере на основе simfs
может получить контроль над контейнерами на основе ploop. Дополнительная информация
о требованиях, которые должны быть собледены для выполнения такой атаки, может быть найдена по адресу:
src.openvz.org.
Предыдущий стабильный выпуске (wheezy) не подвержен данной проблеме.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 4.8-1+deb8u2. Во время обновления существующие настройки автоматически
будут обновлены.
В тестируемом выпуске (stretch) эта проблема была исправлена
в версии 4.9.4-2.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 4.9.4-2.
Рекомендуется обновить пакеты vzctl.
виртуализации OpenVZ, определяет топологию хранилища
контейнеров на основе наличия файла XML внутри контейнера.
Злоумышленник с локальными правами суперпользователя в контейнере на основе simfs
может получить контроль над контейнерами на основе ploop. Дополнительная информация
о требованиях, которые должны быть собледены для выполнения такой атаки, может быть найдена по адресу:
src.openvz.org.
Предыдущий стабильный выпуске (wheezy) не подвержен данной проблеме.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 4.8-1+deb8u2. Во время обновления существующие настройки автоматически
будут обновлены.
В тестируемом выпуске (stretch) эта проблема была исправлена
в версии 4.9.4-2.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 4.9.4-2.
Рекомендуется обновить пакеты vzctl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
vzctl - 4.8-1+deb8u2
Debian GNU/Linux 8:
noarch:
vzctl - 4.8-1+deb8u2
Ссылки
http://www.debian.org/security/dsa-3357/
Источник: CVE
Наименование: CVE-2015-6927
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6927
Источник: CVE
Наименование: CVE-2015-6927
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6927