Mandriva Linux 安全公告:libvirt (MDVSA-2014:195)

medium Nessus 插件 ID 78062

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

已在 libvirt 中发现并修正了多种漏洞:

为持续磁盘配置建立索引时,在 libvirt 的 qemuDomainGetBlockIoTune() 函数查询非持续(实时)磁盘配置中的磁盘索引的方式中发现越界读取缺陷。能够建立到 libvirtd 的只读连接的远程攻击者可以利用此缺陷导致 libvirtd 崩溃,或可从 libvirtd 进程泄漏内存 (CVE-2014-3633)。

在 libvirt 的 virConnectListAllDomains() 函数计算使用的域的数量的方式中发现拒绝服务缺陷。能够建立到 libvirtd 的只读连接的远程攻击者可以利用此缺陷在 libvirtd 失去响应期间执行任何域操作 (CVE-2014-3657)。

更新后的 libvirt 程序包已升级到 1.1.3.6 版本并已安装补丁以解决这些安全缺陷。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/errata/RHSA-2014:1352

插件详情

严重性: Medium

ID: 78062

文件名: mandriva_MDVSA-2014-195.nasl

版本: 1.7

类型: local

发布时间: 2014/10/6

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: Medium

基本分数: 5.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:P

漏洞信息

CPE: p-cpe:/a:mandriva:linux:lib64virt-devel, p-cpe:/a:mandriva:linux:lib64virt0, p-cpe:/a:mandriva:linux:libvirt-utils, p-cpe:/a:mandriva:linux:python-libvirt, cpe:/o:mandriva:business_server:1

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2014/10/3

参考资料信息

CVE: CVE-2014-3633, CVE-2014-3657

BID: 70186, 70210

MDVSA: 2014:195