Novi propusti programskog paketa Libvirt

U radu programskog paketa Libvirt, distribuiranog s Ubuntu operacijskim sustavom, uočeni su sigurnosni propusti. Udaljeni napadač ih može iskoristiti za napad uskraćivanjem usluga (DoS) kao i za pristup osjetljivim korisničkim podacima.

Paket:	libvirt 0.x
Operacijski sustavi:	Ubuntu Linux 10.04, Ubuntu Linux 10.10, Ubuntu Linux 11.04
Kritičnost:	6.8
Problem:	pogreška u programskoj komponenti
Iskorištavanje:	udaljeno
Posljedica:	otkrivanje osjetljivih informacija, uskraćivanje usluga (DoS)
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2011-1486, CVE-2010-2238, CVE-2011-2178
Izvorni ID preporuke:	USN-1152-1
Izvor:	Ubuntu

Problem:
Sigurnosne ranjivosti se javljaju u načinu na koji libvirtd obrađuje poruke o pogreškama konekcija i tzv. "off-by-one" pogreške.
Posljedica:
Udaljeni napadač ranjivosti može iskoristiti za DoS napad te za pristup povjerljivim korisničkim informacijama.
Rješenje:
Svim se korisnicima navedenog programskog paketa savjetuje njegova nadogradnja na novije inačice.

Izvorni tekst preporuke

==========================================================================
Ubuntu Security Notice USN-1152-1
June 16, 2011

libvirt vulnerabilities
==========================================================================

A security issue affects these releases of Ubuntu and its derivatives:

- Ubuntu 11.04
- Ubuntu 10.10
- Ubuntu 10.04 LTS

Summary:

Libvirt could be made to crash or read arbitrary files on the host.

Software Description:
- libvirt: Libvirt virtualization toolkit

Details:

It was discovered that libvirt did not use thread-safe error reporting. A
remote attacker could exploit this to cause a denial of service via
application crash. (CVE-2011-1486)

Eric Blake discovered that libvirt had an off-by-one error which could
be used to reopen disk probing and bypass the fix for CVE-2010-2238. A
privileged attacker in the guest could exploit this to read arbitrary files
on the host. This issue only affected Ubuntu 11.04. By default, guests are
confined by an AppArmor profile which provided partial protection against
this flaw. (CVE-2011-2178)

Update instructions:

The problem can be corrected by updating your system to the following
package versions:

Ubuntu 11.04:
  libvirt-bin                     0.8.8-1ubuntu6.2
  libvirt0                        0.8.8-1ubuntu6.2

Ubuntu 10.10:
  libvirt-bin                     0.8.3-1ubuntu18
  libvirt0                        0.8.3-1ubuntu18

Ubuntu 10.04 LTS:
  libvirt-bin                     0.7.5-5ubuntu27.13
  libvirt0                        0.7.5-5ubuntu27.13

In general, a standard system update will make all the necessary changes.

References:
  CVE-2011-1486, CVE-2011-2178

Package Information:
  https://launchpad.net/ubuntu/+source/libvirt/0.8.8-1ubuntu6.2
  https://launchpad.net/ubuntu/+source/libvirt/0.8.3-1ubuntu18
  https://launchpad.net/ubuntu/+source/libvirt/0.7.5-5ubuntu27.13

Novi propusti programskog paketa Libvirt

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Novi propusti programskog paketa Libvirt

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti