Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
libnss-libvirt
(any)
libvirt0
(any)
libvirt0-dbg
(any)
libvirt-bin
(any)
libvirt-clients
(any)
libvirt-daemon
(any)
libvirt-daemon-system
(any)
libvirt-dev
(any)
libvirt-doc
(any)
libvirt-sanlock
(any)
Описание
В Libvirt, библиотеки абстракций для виртуализации, было обнаружено
несколько уязвимостей:
CVE-2018-1064
Дэниель Беранж обнаружил, что гостевой агент QEMU выполняет
недостаточные проверки входящих данных, что позволяет привилегированному
пользователю гостевой системы чрезмерно потреблять ресурсы узла виртуализации,
что приводит к отказу в обслуживании.
CVE-2018-5748
Дэниель Беранж и Петер Кремпа обнаружили, что QEMU-монитор
предположительно уязвим к отказу в обслуживании из-за исчерпания памяти. Эта проблема
уже исправлена в Debian stretch и касается только Debian jessie.
CVE-2018-6764
Педро Сампайо обнаружил, что LXC-контейнеры определяют имя узла
небезопасным образом. Эта уязвимость касается только Debian stretch.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1.2.9-9+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 3.0.0-4+deb9u3.
Рекомендуется обновить пакеты libvirt.
С подробным статусом поддержки безопасности libvirt можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/libvirt">https://security-tracker.debian.org/tracker/libvirt">https://security-tracker.debian.org/tracker/libvirt
несколько уязвимостей:
CVE-2018-1064
Дэниель Беранж обнаружил, что гостевой агент QEMU выполняет
недостаточные проверки входящих данных, что позволяет привилегированному
пользователю гостевой системы чрезмерно потреблять ресурсы узла виртуализации,
что приводит к отказу в обслуживании.
CVE-2018-5748
Дэниель Беранж и Петер Кремпа обнаружили, что QEMU-монитор
предположительно уязвим к отказу в обслуживании из-за исчерпания памяти. Эта проблема
уже исправлена в Debian stretch и касается только Debian jessie.
CVE-2018-6764
Педро Сампайо обнаружил, что LXC-контейнеры определяют имя узла
небезопасным образом. Эта уязвимость касается только Debian stretch.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1.2.9-9+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 3.0.0-4+deb9u3.
Рекомендуется обновить пакеты libvirt.
С подробным статусом поддержки безопасности libvirt можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/libvirt">https://security-tracker.debian.org/tracker/libvirt">https://security-tracker.debian.org/tracker/libvirt
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libnss-libvirt - 3.0.0-4+deb9u3
libvirt-clients - 3.0.0-4+deb9u3
libvirt-daemon - 3.0.0-4+deb9u3
libvirt-daemon-system - 3.0.0-4+deb9u3
libvirt-dev - 3.0.0-4+deb9u3
libvirt-doc - 3.0.0-4+deb9u3
libvirt-sanlock - 3.0.0-4+deb9u3
libvirt0 - 3.0.0-4+deb9u3
Debian GNU/Linux 8:
noarch:
libvirt-bin - 1.2.9-9+deb8u5
libvirt-clients - 1.2.9-9+deb8u5
libvirt-daemon - 1.2.9-9+deb8u5
libvirt-daemon-system - 1.2.9-9+deb8u5
libvirt-dev - 1.2.9-9+deb8u5
libvirt-doc - 1.2.9-9+deb8u5
libvirt-sanlock - 1.2.9-9+deb8u5
libvirt0 - 1.2.9-9+deb8u5
libvirt0-dbg - 1.2.9-9+deb8u5
Debian GNU/Linux 9:
noarch:
libnss-libvirt - 3.0.0-4+deb9u3
libvirt-clients - 3.0.0-4+deb9u3
libvirt-daemon - 3.0.0-4+deb9u3
libvirt-daemon-system - 3.0.0-4+deb9u3
libvirt-dev - 3.0.0-4+deb9u3
libvirt-doc - 3.0.0-4+deb9u3
libvirt-sanlock - 3.0.0-4+deb9u3
libvirt0 - 3.0.0-4+deb9u3
Debian GNU/Linux 8:
noarch:
libvirt-bin - 1.2.9-9+deb8u5
libvirt-clients - 1.2.9-9+deb8u5
libvirt-daemon - 1.2.9-9+deb8u5
libvirt-daemon-system - 1.2.9-9+deb8u5
libvirt-dev - 1.2.9-9+deb8u5
libvirt-doc - 1.2.9-9+deb8u5
libvirt-sanlock - 1.2.9-9+deb8u5
libvirt0 - 1.2.9-9+deb8u5
libvirt0-dbg - 1.2.9-9+deb8u5
Ссылки
http://www.debian.org/security/dsa-4137/
Источник: CVE
Наименование: CVE-2018-6764
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6764
Источник: CVE
Наименование: CVE-2018-5748
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5748
Источник: CVE
Наименование: CVE-2018-1064
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1064
Источник: CVE
Наименование: CVE-2018-6764
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6764
Источник: CVE
Наименование: CVE-2018-5748
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5748
Источник: CVE
Наименование: CVE-2018-1064
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1064