Mandriva Linux セキュリティアドバイザリ:libvirt(MDVSA-2014:097)
medium Nessus プラグイン ID 74075
Language:
概要
リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。説明
libvirt で複数の脆弱性が見つかり修正されました:libvirt 1.0.1 ~ 1.2.1 の LXC ドライバー(lxc/lxc_driver.c)によって、ローカルユーザーは以下を実行できます。(1) コンテナの /dev での virDomainDeviceDettach API とシンボリックリンク攻撃を通して任意のホストデバイスを削除する、(2) コンテナの /dev での virDomainDeviceAttach API およびシンボリックリンク攻撃を通して任意のノード(mknod)を作成し、サービス拒否(ホスト OS のシャットダウンまたは再起動)を引き起こす。その経路は (3) virDomainShutdown または (4) コンテナの /dev/initctl での virDomainReboot API およびシンボリックリンク攻撃(CVE-2013-6456)。これは /proc//root 下のパスと virInitctlSetRunLevel function 関数に関連しています。
XML ファイルの解析時のエンティティの展開を避けるために、libvert にパッチが適用されました。この脆弱性により、悪意のあるユーザーは、任意のファイルを読み取ったり、サービス拒否を引き起こしたりする可能性があります(CVE-2014-0179)。
更新パッケージは、1.1.3.5 バージョンにアップグレードされ、これらの問題を修正するためのパッチが適用されています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://lists.opensuse.org/opensuse-updates/2014-05/msg00048.html
プラグインの詳細
深刻度: Medium
ID: 74075
ファイル名: mandriva_MDVSA-2014-097.nasl
バージョン: 1.5
タイプ: local
公開日: 2014/5/19
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.2
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 5
ベクトル: CVSS2#AV:A/AC:M/Au:S/C:N/I:P/A:C
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:lib64virt-devel, p-cpe:/a:mandriva:linux:lib64virt0, p-cpe:/a:mandriva:linux:libvirt-utils, p-cpe:/a:mandriva:linux:python-libvirt, cpe:/o:mandriva:business_server:1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/5/16
参照情報
CVE: CVE-2013-6456, CVE-2014-0179
MDVSA: 2014:097