Bulletin d'alerte Debian
DSA-3317-1 lxc -- Mise à jour de sécurité
- Date du rapport :
- 25 juillet 2015
- Paquets concernés :
- lxc
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 793298.
Dans le dictionnaire CVE du Mitre : CVE-2015-1331, CVE-2015-1334. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans LXC, outils en espace utilisateur pour les conteneurs Linux. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2015-1331
Roman Fiedler a découvert un défaut de traversée de répertoires dans LXC lors de la création de fichiers de vérrouillage. Un attaquant local pourrait exploiter ce défaut pour créer un fichier arbitraire avec les droits du superutilisateur.
- CVE-2015-1334
Roman Fiedler a découvert que LXC fait confiance de manière incorrecte au système de fichiers /proc du conteneur pour configurer les modifications de profil d'AppArmor et les transitions de domaine de SELinux. Un conteneur malveillant pourrait créer un faux système de fichiers /proc et utiliser ce défaut pour exécuter, dans le conteneur, des programmes qui ne sont pas confinés par AppArmor ou SELinux.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:1.0.6-6+deb8u1.
Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1:1.0.7-4.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.0.7-4.
Nous vous recommandons de mettre à jour vos paquets lxc.
- CVE-2015-1331