Mandriva Linux セキュリティアドバイザリ:libvirt(MDVSA-2014:195)

medium Nessus プラグイン ID 78062

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

libvirt で複数の脆弱性が見つかり修正されました:

libvirt のqemuDomainGetBlockIoTune() 関数が、恒久的ディスク構成にインデックスが付されているときに、非恒久的(ライブ)ディスク構成のディスクインデックスを参照する場合の方法に境界外読み取りの欠陥が見つかりました。libvirtd に読み取り専用の接続を確立できるリモートの攻撃者が、この欠陥を利用して、libvirtd をクラッシュさせたり、libvirtd プロセスからメモリを漏洩させる可能性がありました(CVE-2014-3633)。

libvirt の virConnectListAllDomains() 関数が、使用されたドメインの数を計算する場合の方法にサービス拒否の欠陥が見つかりました。libvirtd に読み取り専用の接続を確立できるリモートの攻撃者が、この欠陥を利用して、libvirt 内のあらゆるドメイン動作を非応答にさせる可能性がありました(CVE-2014-3657)。

更新済みの libvirt パッケージは 1.1.3.6 バージョンにアップグレードされ、これらのセキュリティの欠陥を解決するためにパッチが適用されました。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2014:1352

プラグインの詳細

深刻度: Medium

ID: 78062

ファイル名: mandriva_MDVSA-2014-195.nasl

バージョン: 1.7

タイプ: local

公開日: 2014/10/6

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: Medium

基本値: 5.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:lib64virt-devel, p-cpe:/a:mandriva:linux:lib64virt0, p-cpe:/a:mandriva:linux:libvirt-utils, p-cpe:/a:mandriva:linux:python-libvirt, cpe:/o:mandriva:business_server:1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/10/3

参照情報

CVE: CVE-2014-3633, CVE-2014-3657

BID: 70186, 70210

MDVSA: 2014:195