Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3317-1 lxc

Säkerhetsbulletin från Debian

DSA-3317-1 lxc -- säkerhetsuppdatering

Rapporterat den:

2015-07-25

Berörda paket:

lxc

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 793298.
I Mitres CVE-förteckning: CVE-2015-1331, CVE-2015-1334.

Ytterligare information:

Flera sårbarheter har upptäckts i LXC, Linux Containers userspaceverktyg. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-1331

  Roman Fiedler upptäckte en katalogtraverseringsbrist i LXC vid skapande av låsningsfiler. En lokal angripare kan exploatera denna brist för att skapa en godtycklig fil som rotanvändaren.

• CVE-2015-1334

  Roman Fiedler upptäckte att LXC felaktigtlitar på behållarens proc-filsystem för att sätta upp AppArmor-profilförändringar och SELinux domäntransitioner. En illasinnad behållare kunde skapa ett falskt proc-filsystem och använda denna brist för att kör program i behållaren som inte begränsas av AppArmor eller SELinux.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:1.0.6-6+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 1:1.0.7-4.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1:1.0.7-4.

Vi rekommenderar att ni uppgraderar era lxc-paket.