Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3357-1 vzctl

Bulletin d'alerte Debian

DSA-3357-1 vzctl -- Mise à jour de sécurité

Date du rapport :

13 septembre 2015

Paquets concernés :

vzctl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-6927.

Plus de précisions :

Vzctl, un ensemble d'outils de contrôle pour la solution de virtualisation de serveurs OpenVZ, déterminait l'organisation du stockage des conteneurs en se basant sur la présence d'un fichier XML dans le conteneur. Un attaquant avec les droits du superutilisateur local dans un conteneur basé sur simfs pourrait prendre le contrôle de conteneurs basés sur ploop. Vous trouverez plus d'informations sur les conditions préalables à une attaque de ce type sur src.openvz.org.

La distribution oldstable (Wheezy) n'est pas concernée.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 4.8-1+deb8u2. Durant la mise à jour, les configurations existantes ont été mises à jour automatiquement.

Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 4.9.4-2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.9.4-2.

Nous vous recommandons de mettre à jour vos paquets vzctl.