検出

RHEL 5 : libvirt (RHSA-2013:0127)

low Nessus プラグイン ID 64073

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティ問題およびいくつかのバグを修正する更新済みの libvirt パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

libvirt ライブラリは、Linux などのオペレーティングシステムの仮想化機能を管理し、この機能との対話を行うための C API です。さらに、 libvirt は、仮想化されたシステムのリモート管理のためのツールも提供します。

ゲストに対して同じベンダーまたは製品 ID をもつ複数の USB デバイスを取り付けようとすると、バスおよびデバイス ID が無視されました。これにより、間違ったデバイスがゲストに取り付けられ、デバイスに対する root アクセスがそのゲストに提供される可能性があります。(CVE-2012-2693)

この更新は以下のバグも修正します:

* 以前は、既に定義されている QEMU ドメインに対して libvirtd ライブラリが自動開始フラグを設定できませんでした。このバグは修正され、ドメインは自動起動として正常にマークされるようになりました。(BZ#675319)

* この更新以前では、virFileAbsPath() 関数は cwd() 関数とパスを組み合わせるためにメモリを割り当てる際、スラッシュ('/')のディレクトリセパレータを考慮していませんでした。これにより、メモリ破損が生じることがあります。この更新では、virAsprintff() 関数に対する変換が virFileAbsPath() に導入されています。結果として、前述の問題は発生することはありません。(BZ#680289)

* この更新では、virsh ユーザーインターフェイスの man ページが、「domxml-from-native」および「domxml-to-native」コマンドについて情報を含めることで改善されています。フォーマット引数の適切な表記が明確化されました。その結果、前述のコマンドにおいてフォーマット引数を設定する際の混乱を回避できるようになりました。(BZ#783001)

libvirt の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を修正することが推奨されます。更新済みパッケージのインストール後、 libvirtd は自動的に再起動します。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2013:0127

https://access.redhat.com/security/cve/cve-2012-2693

プラグインの詳細

深刻度: Low

ID: 64073

ファイル名: redhat-RHSA-2013-0127.nasl

バージョン: 1.16

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Low

基本値: 3.7

現状値: 2.7

ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:libvirt, p-cpe:/a:redhat:enterprise_linux:libvirt-debuginfo, p-cpe:/a:redhat:enterprise_linux:libvirt-devel, p-cpe:/a:redhat:enterprise_linux:libvirt-python, cpe:/o:redhat:enterprise_linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/1/8

参照情報

CVE: CVE-2012-2693

BID: 54126

RHSA: 2013:0127