4.6средняя
BDU:2019-02853 (CVE-2019-10167)
Уязвимость функции virConnectGetDomainCapabilities() библиотеки управления виртуализацией Libvirt, позволяющая нарушителю выполнить произвольный код или повысить свои привилегии
Опубликовано: 2019-08-13
Описание
Уязвимость функции virConnectGetDomainCapabilities() библиотеки управления виртуализацией Libvirt вызвана ошибками контроля доступа. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или повысить свои привилегии
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Suse Linux Enterprise Server (12 SP4)OpenSUSE Leap (15)Ubuntu (19.04)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (12 SP1-LTSS)OpenSUSE Leap (15.1)Suse Linux Enterprise Server (12 SP1-LTSS)libvirt (от 4.0.0 до 4.10.1)libvirt (от 5.0.0 до 5.4.1)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15.1 SP1)SUSE Linux Enterprise Module for Basesystem (15.1 SP1)SUSE Linux Enterprise Module for Server Applications (15)SUSE Linux Enterprise Module for Server Applications (15.1 SP1)Debian GNU/Linux (8)Debian GNU/Linux (10)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения
Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-10167
https://libvirt.org/git/?p=libvirt.git;a=commit;h=8afa68bac0cf99d1f8aaa6566685c43c22622f26
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-10167/
Для программных продуктов Canonical Ltd.:
https://usn.ubuntu.com/4047-1/
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-10167
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libvirt до версии 3.0.0-4+deb9u5
Оценка CVSS
| Балл | 4.6 — средняя опасность |
Источники и патчи