DFN-CERT-2013-0598 Schwachstelle im libvirt Paket [Linux][Debian]

DFN-CERT-2013-0598 Schwachstelle im libvirt Paket [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket libvirt in Debian GNU/Linux 6.0 (squeeze) vor Version 0.8.3-5+squeeze5

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)

Aufgrund einer fehlerhaften Korrektur von CVE-2013-1766 (libvirtd
Gruppenrechte) können virtuelle Maschinen nicht mehr ausgeführt werden.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2013-1766: libvirtd setzt die falsche Gruppe für Gerätedateien

Der Daemon libvirtd setzt Eigner und Gruppe von Gerätedateien auf
“libvirt-qemu” und “kvm”. Die Gruppe “kvm” ist jedoch nicht spezifisch
genug, da sie Nutzer enthalten kann, die nicht für libvirt vorgesehen sind
und so auf die Gerätedateien zugreifen können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0598/

Das Hersteller Advisory:
http://www.debian.org/security/2013/dsa-2650

Schwachstelle CVE-2013-1766:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1766

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben