検出

GLSA-201612-10:libvirt:ディレクトリトラバーサル

low Nessus プラグイン ID 95525

Language:

概要

リモートのGentooホストに1つ以上のセキュリティ関連のパッチがありません。

説明

リモートホストは、GLSA-201612-10(libvirt:ディレクトリトラバーサル)に記載されている脆弱性に影響されています。通常、権限のあるユーザーのみがvirStorageVol APIを使用してlibvirtに既存ファイルの作成またはオープンを強制できます。このようなユーザーは、ドメインXMLを作成するための完全な特権を既に持っています。しかし、ファイングレインACLの場合、ユーザーにstorage_vol:createが付与され、domain:writeは付与されないことがあり、そのようなユーザーがlibvirtを乱用してストレージプール外のファイルにアクセスできる場合、想定に違反します。影響:細粒度のアクセスコントロールリスト(ACL)が有効な場合、storage_vol:create権限があるがdomain:write権限のないユーザーは、ストレージプール外に任意のファイルを作成したり、これらのファイルにアクセスできる可能性があります。回避策:libvirtで細粒度のアクセスコントロールリスト(ACL)を使用しないでください。Gentooでは、"policykit" USEフラグを有効にしない限り、libvirtのACLサポートはデフォルトで無効になります。

ソリューション

libvirtの全ユーザーは、最新バージョンにアップグレードする必要があります:# emerge --sync # emerge --ask --oneshot --verbose '>=app-emulation/libvirt-1.2.21-r1'

参考資料

https://security.gentoo.org/glsa/201612-10

プラグインの詳細

深刻度: Low

ID: 95525

ファイル名: gentoo_GLSA-201612-10.nasl

バージョン: 3.2

タイプ: local

公開日: 2016/12/5

更新日: 2021/1/11

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.2

CVSS v2

リスクファクター: Low

基本値: 1.9

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:N/I:P/A:N

CVSS v3

リスクファクター: Low

基本値: 2.5

ベクトル: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

脆弱性情報

CPE: p-cpe:/a:gentoo:linux:libvirt, cpe:/o:gentoo:linux

必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

パッチ公開日: 2016/12/4

参照情報

CVE: CVE-2015-5313

GLSA: 201612-10