Debians sikkerhedsbulletin
DSA-3317-1 lxc -- sikkerhedsopdatering
- Rapporteret den:
- 25. jul 2015
- Berørte pakker:
- lxc
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 793298.
I Mitres CVE-ordbog: CVE-2015-1331, CVE-2015-1334. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i LXC, Linux Containers-brugerrumsværktøjer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-1331
Roman Fiedler opdagede en mappegennemløbsfejl i LXC, når der oprettes lock-filer. En lokal angriber kunne udnytte fejlen til at oprette en vilkårlig fil som root-brugeren.
- CVE-2015-1334
Roman Fiedler opdagede at LXC på ukorrekt vis stolede på at containerens proc-filsystem ville opsætte AppArmor-profilændringer og SELinux-domænetransitioner. En ondsindet container kunne oprette et falsk proc-filsystem og udnytte fejlen til at køre programmer inde i containeren, som ikke var begrænset af AppArmor eller SELinux.
I den stabile distribution (jessie), er disse problemer rettet i version 1:1.0.6-6+deb8u1.
I distributionen testing (stretch), er disse problemer rettet i version 1:1.0.7-4.
I den ustabile distribution (sid), er disse problemer rettet i version 1:1.0.7-4.
Vi anbefaler at du opgraderer dine lxc-pakker.
- CVE-2015-1331