blob: ba69b460104a867c4079dc72b52788d40b28558b (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
#use wml::debian::translation-check translation="c11be6f246a7cbf046ad495f48f8755591c840f0" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Flere sårbarheder blev opdaget i Libvirt, et bibliotek indeholdende et
virtualiseringsabstraktionslag. Projektet Common Vulnerabilities and Exposures
har registreret følgende problemer:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0179">CVE-2014-0179</a>
<p>Richard Jones og Daniel P. Berrange opdagede at libvirt overførte flaget
XML_PARSE_NOENT, når XML-dokumenter blev behandlet ved hjælp af biblioteket
libxml2, hvorved alle XML-entiteter i det fortolkede dokument udvides. En
bruger med mulighed for at tvinge libvirtd til at fortolke et XML-dokument
med en vilkårlig entitet pegende på en særlig fil, som blokerer for
læseadgang, kunne udnytte fejlen til at få libvirtd til at hænge i uendelig
tid, medførende et lammelsesangreb på systemet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3633">CVE-2014-3633</a>
<p>Luyao Huang fra Red Hat opdagede at qemu-implementeringen af
virDomainGetBlockIoTune, beregnede et indeks hørende til diskarrayet til
live-definitionen, og dernæst anvende det som et indeks til diskarrayet til
den blivende definition, hvilket kunne medføre læseadgang uden for grænserne
i qemuDomainGetBlockIoTune().</p>
<p>En fjernangriber med mulighed for at etablere en kun læsning-forbindelse
til libvirtd, kunne udnytte fejlen til at få libvirtd til at gå ned eller
potentielt lække hukommelse fra libvirtd-processen.</p></li>
</ul>
<p>I den stabile distribution (wheezy), er disse problemer rettet i
version 0.9.12.3-1+deb7u1.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i
version 1.2.8-2.</p>
<p>Vi anbefaler at du opgraderer dine libvirt-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3038.data"
|
