1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
|
#use wml::debian::translation-check translation="c11be6f246a7cbf046ad495f48f8755591c840f0" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В Libvirt, библиотеке для абстракции виртуализации, были обнаружены
несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0179">CVE-2014-0179</a>
<p>Ричард Джонс и Дэниэль Берранж обнаружили, что libvirt передаёт флаг
XML_PARSE_NOENT при грамматическом разборе документов XML с использованием библиотеки
libxml2. В этом случае все записи XML в грамматически разобранных документах
раскрываются. Пользователь может заставить libvirtd разобрать документ XML,
содержащий запись, указывающую на специальный файл, которые блокирует доступ
для чтения, что может привести к зависанию libvirtd,
что, в конечном итоге, приведёт к отказу в обслуживании всей системы.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3633">CVE-2014-3633</a>
<p>Луйяо Хань из Red Hat обнаружил, что реализация qemu функции
virDomainGetBlockIoTune трансформирует список в массив дисков
для их определения на лету, а затем использует его как список для массива
дисков для постоянного определения, что может приводить к
чтениям за пределами массива в функции qemuDomainGetBlockIoTune().</p>
<p>Удалённый злоумышленник, способный установить подключение с правами только для чтения к
libvirtd, может использовать эту уязвимость для аварийного завершения работы libvirtd, либо потенциальной утечки
памяти в процессе libvirtd.</p></li>
</ul>
<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 0.9.12.3-1+deb7u1.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.2.8-2.</p>
<p>Рекомендуется обновить пакеты libvirt.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3038.data"
# $Id$
|