AXSA:2021-2117:03

リリース日: 
2021/06/30 Wednesday - 10:03
題名: 
spice-vdagent-0.20.0-3.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- spice-vdagentd デーモン のホストシステムから仮想マシンにファイル転送する機能に問
題があり、 UNIX ドメインソケットパス /run/spice-vdagentd/spice-vdagent-sock にアクセ
スできる非特権ローカルゲストユーザーによって、 spice-vdagentd だけでなく、VM シス
テム内で動作している他のプロセスに対してメモリーを消費して、サービス拒否に陥る脆
弱性があります。(CVE-2020-25650)

- SPICE ファイル転送プロトコルには問題があり、ホストシステムからのファイルデータ
の全部または一部が、VM システムの不正なローカルユーザーのクライアント接続に転送
されたり、他のユーザーからのアクティブなファイル転送が中断され、サービス拒否が引
き起こされる脆弱性があります。(CVE-2020-25651)

- spice-vdagentdデーモンには、UNIX ドメインソケット /run/spice-vdagentd/spice-vdagent-sock
を介して確立されたクライアント接続を適切に処理しない問題があり、この問題を悪用し
た非特権ローカルゲストユーザーが、正規のエージェントが spice-vdagentd に接続できな
いようにし、サービス拒否を引き起こす脆弱性があります。(CVE-2020-25652)

- spice-vdagentd デーモンには新規クライアント接続の処理方法に競合状態が発生する問
題によって、非特権ローカルゲストユーザーが spice-vdagentd のアクティブなエージェン
トになることができ、サービス拒否やホストからの情報漏洩を引き起こす脆弱性がありま
す。(CVE-2020-25653)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. spice-vdagent-0.20.0-3.el8.src.rpm
    MD5: 24c5de847ce089a7efa76badcd996e63
    SHA-256: 2d15892a8dc81a76085d531b79555e92d8da8f78ec8fcf3b3111c2285dd3fb6e
    Size: 218.34 kB

Asianux Server 8 for x86_64
  1. spice-vdagent-0.20.0-3.el8.x86_64.rpm
    MD5: 1848a8c7ba5965e85bf9d998d996e884
    SHA-256: 9d1f85ece656dfdc8b3012fb1064197257481fa6acbfd7696809d758ca4a90b1
    Size: 90.95 kB
Copyright© 2007-2015 Asianux. All rights reserved.