libvirtのlibvirt-domain.cは、RW接続が必要とされていたとしても、RO接続を持つゲストエージェントによるvirDomainGetTime API呼び出しをサポートします。これにより、libvirtをブロックさせることで、意図しない情報やサービス拒否の漏えいにつながる可能性があります。

Debian 8「Jessie」では、この問題はバージョン1.2.9-9+deb8u6で修正されました。

お使いのlibvirtパッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

DebianDLA-1772-1: libvirtのセキュリティ更新プログラム

high Nessus プラグイン ID 124417

バージョン 1.5