检测

RHEL 7:libvirt (RHSA-2014:0914)

low Nessus 插件 ID 76904

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 libvirt 程序包修复了一个安全问题和三个缺陷,现在可用于 Red Hat Enterprise Linux 7。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

libvirt 库是一款 C API,用于管理并交互 Linux 和其他操作系统的虚拟化功能。此外,libvirt 还提供用于远程管理虚拟化系统的工具。

已发现当使用 libxml2 库解析 XML 文档时,libvirt 传递 XML_PARSE_NOENT 标记,其中已解析文档的所有 XML 实体均得到扩展。能够强制 libvirtd 使用指向文件的实体解析 XML 文档的用户可利用此缺陷读取该文件的内容;使用指向阻断读取访问的特殊文件的实体解析 XML 文档可能造成 libvirtd 无限期挂起,从而在系统上导致拒绝服务。(CVE-2014-0179)

Red Hat 在此感谢上游 Libvirt 项目报告此问题。上游感谢原始报告者 Daniel P. Berrange 和 Richard Jones。

此更新还修复以下缺陷:

* 之前的 libvirt 程序包更新中存在一个错误:在 poll() 系统调用之后,SIG_SETMASK 参数没有正确地替换为 SIG_BLOCK 参数。因此,SIGCHLD 信号可能会永久阻断,从而导致信号掩码无法返回其原始值并生成僵尸进程。通过此更新,可恢复原始信号掩码,且不再生成僵尸进程。(BZ#1112689)

* 尝试启动不存在的域会导致网络过滤器被锁定,只能进行只读访问。因此,尝试获取读写访问权限时,会出现死锁。此更新应用修补程序修复了该缺陷,而且尝试启动不存在的域不会再导致上述情况中的死锁。
(BZ#1112690)

* 以前,libvirtd 后台程序仅绑定到在特定网络接口上配置的地址。如果在配置 IPv4 地址之前启动 libvirtd,则 libvirtd 仅监听 IPv6 地址。已修改后台程序,从而无需在绑定到通配符地址(例如“0.0.0.0”或“::”)时配置地址。因此,libvirtd 会按预期同时绑定到 IPv4 和 IPv6 地址。(BZ#1112692)

建议 libvirt 用户升级这些更新后的程序包,其中修复了这些缺陷。安装更新后的程序包后,libvirtd 将自动重新启动。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/errata/RHSA-2014:0914

https://access.redhat.com/security/cve/cve-2014-0179

https://access.redhat.com/security/cve/cve-2014-5177

插件详情

严重性: Low

ID: 76904

文件名: redhat-RHSA-2014-0914.nasl

版本: 1.16

类型: local

代理: unix

发布时间: 2014/7/30

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Low

基本分数: 1.9

矢量: CVSS2#AV:L/AC:M/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-network, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-storage, p-cpe:/a:redhat:enterprise_linux:libvirt-python, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon, p-cpe:/a:redhat:enterprise_linux:libvirt-client, p-cpe:/a:redhat:enterprise_linux:libvirt-login-shell, cpe:/o:redhat:enterprise_linux:7.7, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-lxc, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-config-network, p-cpe:/a:redhat:enterprise_linux:libvirt, cpe:/o:redhat:enterprise_linux:7.6, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-nwfilter, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-qemu, p-cpe:/a:redhat:enterprise_linux:libvirt-devel, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-interface, cpe:/o:redhat:enterprise_linux:7.5, p-cpe:/a:redhat:enterprise_linux:libvirt-docs, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-kvm, p-cpe:/a:redhat:enterprise_linux:libvirt-lock-sanlock, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-lxc, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-config-nwfilter, p-cpe:/a:redhat:enterprise_linux:libvirt-debuginfo, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-secret, p-cpe:/a:redhat:enterprise_linux:libvirt-daemon-driver-nodedev

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2014/7/22

漏洞发布日期: 2014/8/3

参考资料信息

CVE: CVE-2014-0179, CVE-2014-5177

RHSA: 2014:0914