Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3357-1 vzctl

Debians sikkerhedsbulletin

DSA-3357-1 vzctl -- sikkerhedsopdatering

Rapporteret den:

13. sep 2015

Berørte pakker:

vzctl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-6927.

Yderligere oplysninger:

Man opdagede at vzctl, et sæt kontrolværktøjer til servervirtualiseringsløsningen OpenVZ, afgjorde storagelayoutet af containere baseret på tilstedeværelsen af en XML-fil inde i en container. En angriber med lokale rootrettigheder i en simfs-baseret container, kunne få kontrol over ploop-baserede containere. Yderligere oplysninger vedrørende forudsætningerne for et sådant angreb, finder man på src.openvz.org.

Den gamle stabile distribution (wheezy) is not affected.

I den stabile distribution (jessie), er dette problem rettet i version 4.8-1+deb8u2. Under opdateringen opdateres eksisterende opsætninger automatisk.

I distributionen testing (stretch), er dette problem rettet i version 4.9.4-2.

I den ustabile distribution (sid), er dette problem rettet i version 4.9.4-2.

Vi anbefaler at du opgraderer dine vzctl-pakker.