偵測

RHEL 7 : libvirt (RHSA-2014:0914)

low Nessus Plugin ID 76904

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 7 的更新版 libvirt 套件,可修正一個安全性問題和三個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

libvirt 程式庫是用來管理 Linux 和其他作業系統的虛擬化功能並與之互動的 C API。此外,libvirt 還提供遠端管理虛擬化系統的工具。

據發現,libvirt 會在剖析使用 libxml2 程式庫的 XML 文件時傳輸 XML_PARSE_NOENT 旗標,在此情況下,剖析文件中的所有 XML 實體會被擴增。能夠迫使 libvirtd 以指向檔案的實體剖析 XML 文件的使用者可能會利用此瑕疵讀取該檔案的內容;以指向封鎖讀取存取權之特殊檔案的實體剖析 XML 文件可能會導致 libvirtd 無限期懸置,造成系統拒絕服務。(CVE-2014-0179)

Red Hat 要感謝上游 Libvirt 專案報告此問題。上游確認 Daniel P. Berrange 和 Richard Jones 為原始報告者。

此更新也可修正下列錯誤:

* 之前對於 libvirt 套件的更新引入了錯誤;在 poll() 系統呼叫之後,SIG_SETMASK 引數遭到 SIG_BLOCK 引數錯誤取代。因此,SIGCHLD 訊號可能遭到永久封鎖,其會導致訊號遮罩未傳回至其原始值,且會產生失效的處理程序。在此更新之下,會還原原始訊號遮罩,且不會再產生失效的處理程序。(BZ#1112689)

* 嘗試啟動不存在的網域導致網路篩選器遭到鎖定,只能進行唯讀存取。因此,當嘗試取得讀寫存取權時,會發生鎖死情形。此更新會套用修補程式以修正此錯誤,且嘗試啟動不存在的網域不會再導致上述情況中所出現的鎖死情形。
(BZ#1112690)

* 之前,libvirtd 程序僅繫結至在某些網路介面上設定的位址。當在設定 IPv4 位址之前啟動 libvirtd 時,libvirtd 僅會在 IPv6 位址上接聽。程序已修改為在繫結至萬用字元位址 (例如「0.0.0.0」或「::」) 時,不需要設定位址。因此,libvirtd 會如預期繫結至 IPv4 與 IPv6 位址。(BZ#1112692)

建議 libvirt 使用者升級至這些更新版套件,其可修正這些錯誤。安裝更新版套件之後,libvirtd 會自動重新啟動。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/cve/cve-2014-0179

https://access.redhat.com/security/cve/cve-2014-5177

https://access.redhat.com/errata/RHSA-2014:0914

Plugin 詳細資訊

嚴重性: Low

ID: 76904

檔案名稱: redhat-RHSA-2014-0914.nasl

版本: 1.16

類型: local

代理程式: unix

已發布: 2014/7/30

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Low

基本分數: 1.9

媒介: CVSS2#AV:L/AC:M/Au:N/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:libvirt, p-cpe:/a:redhat:enterprise_linux:libvirt-client, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-config-network, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-config-nwfilter, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-interface, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-lxc, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-network, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-nodedev, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-nwfilter, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-qemu, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-secret, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-storage, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-kvm, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-lxc, p-cpe:/a:redhat:enterprise_linux:libvirt-debuginfo, p-cpe:/a:redhat:enterprise_linux:libvirt-devel, p-cpe:/a:redhat:enterprise_linux:libvirt-docs, p-cpe:/a:redhat:enterprise_linux:libvirt-lock-sanlock, p-cpe:/a:redhat:enterprise_linux:libvirt-login-shell, p-cpe:/a:redhat:enterprise_linux:libvirt-python, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

修補程式發佈日期: 2014/7/22

弱點發布日期: 2014/8/3

參考資訊

CVE: CVE-2014-0179, CVE-2014-5177

RHSA: 2014:0914