7.2высокая
BDU:2019-02852 (CVE-2019-10161)
Уязвимость функции virDomainSaveImageGetXMLDesc() библиотеки управления виртуализацией Libvirt, позволяющая нарушителю вызвать отказ в обслуживании, выполнить произвольный код или определить наличие и размер произвольных файлов
Опубликовано: 2019-08-13
Описание
Уязвимость функции virDomainSaveImageGetXMLDesc() библиотеки управления виртуализацией Libvirt вызвана ошибками контроля доступа. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании, выполнить произвольный код или определить наличие и размер произвольных файлов
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Suse Linux Enterprise Server (12 SP4)Ubuntu (19.04)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Point of Sale (11 SP3)Suse Linux Enterprise Server (12-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (12 SP1-LTSS)SUSE Linux Enterprise Server for SAP Applications (12-LTSS)OpenSUSE Leap (15.1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP1-LTSS)SUSE Linux Enterprise Server for SAP Applications (11 SP4-LTSS)libvirt (до 4.10.1)libvirt (5.4.1)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15.1 SP1)SUSE Linux Enterprise Module for Basesystem (15.1 SP1)
Способ устранения
Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-10161
https://libvirt.org/git/?p=libvirt.git;a=commit;h=aed6a032cead4386472afb24b16196579e239580
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-10161/
Для программных продуктов Canonical Ltd.:
https://usn.ubuntu.com/4047-1/
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-10161
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libvirt до версии 3.0.0-4+deb9u5
Оценка CVSS
| Балл | 7.2 — высокая опасность |
Источники и патчи