Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3357-1 vzctl

Säkerhetsbulletin från Debian

DSA-3357-1 vzctl -- säkerhetsuppdatering

Rapporterat den:

2015-09-13

Berörda paket:

vzctl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-6927.

Ytterligare information:

Man har upptäckt att vzctl, en uppsättning av kontrollverktyg för servervirtualiseringslösningen OpenVZ avgör lagringslayouten i behållare baserat på en XML-fil som finns inuti behållaren. En angripare med lokala rooträttigheter o en simfs-baserad behållare kunde få kontroll över ploop-baserade behållare. Ytterligare information om förkraven för en sådan attack kan hittas på src.openvz.org.

Den gamla stabila utgåvan (Wheezy) påverkas inte.

För den stabila utgåvan (Jessie) har detta problem rättats i version 4.8-1+deb8u2. Under uppdatering kommer existerande konfiguraioner att uppdateras automatiskt.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 4.9.4-2.

För den instabila utgåvan (Sid) har detta problem rättats i version 4.9.4-2.

Vi rekommenderar att ni uppgraderar era vzctl-paket.