libguestfs-1.20.11-2.0.1.AXS4
エラータID: AXSA:2014-288:02
以下項目について対処しました。
[Security Fix]
- libguestfs の guestfish コマンドが --remote あるいは --listen オプションを用いた場合, /tmp/.guestfish-$UID/ ディレクトリの一時ソケットファイルを作成する際に適切にそのディレクトリの所有者をチェックしておらず,あらかじめ /tmp/.guestfish-$UID/ を作成することによって,ローカルのユーザがソケットに書き込み,任意のコマンドを実行する脆弱性があります。(CVE-2013-4419)
[Bug Fix]
- libguestfs がアップストリームのバージョン 1.20 にアップグレードし,多くのバグ修正と機能拡張を提供します。
- guestmount がハードリンクを作成するのに失敗した場合,誤ったエラーメッセージが返されますが,本当のエラー原因についての情報が表示されない問題を修正しました。
- guestmount とのシンボリックリンクをリネームしようとした場合,guestmount が上書きする代わりにリンクをたどってしまう問題を修正しました。
- guestfs_download API あるいは guestfish download コマンドを使用したディレクトリのダウンロードが許可されていませんでした。しかし libguestfs がそのような場合でもエラーを返さず,代わりにプロトコルの同期が失われてしまう問題を修正しました。
- ある状況下において,長時間実行している libguestfs API コールがプログレスメッセージを生成している場合,スタックオーバーフローのため,libguestfs が予期せず終了してしまう問題を修正しました。
- libguestfs の調査で一般的ではないシステムルートのパスを用いた Microsoft Windows のゲストを検知できない問題を修正しました。
- libguestfs がターゲットサイズが明白に指定されていない場合,Microsoft Windows NTFS ファイルシステムをリサイズできない問題を修正しました。
- 不整合な状態にある Windows ゲスト上で virt-resize が失敗してしまう問題の記述を guestfs(3) の man ページに追加しました。
- ディスクを追加する際に iface パラメータが使用されると,libguestfs が無限ループに入ってしまう問題を修正しました。
- guestfs_filesystem_available(g,"xfs") 関数を呼び出すと,XFS が利用不可能である場合でも真として評価されてしまう可能性のある問題の記述を guestfs(3) の man ページに追加しました。
- 相対パスパラメータを持つ hivex-commit コマンドがユーザにアクセスできない場所に書き込む問題を,絶対パスあるいは空のパスを要求するように修正しました。相対パスが hivex-commit コマンドに渡された場合はエラーメッセージが表示されるようになりました。
- libguestfs での ACLs の設定の構文が guestfs(3) の man ページに記述されました。
- libguestfs がケーパビリティのセットを持たないファイルのケーパビリティを読み込んでいましたが,libguestfs がエラーを返していた問題を,guestfs_cap_get_file() 関数が空の文字列を返すようにして修正しました。
- guestfish コマンドを --remote と --add オプション付きで用いた場合予測できない結果が生じる可能性のある問題を guestfish(1) の man ページに記述しました。
- guestfish --remote コマンドを用いた場合,次のメッセージが表示される問題を修正しました。
libguestfs: error: waitpid (qemu): No child processes
- 負荷が高いシステム上で libguestfs パッケージを使用した場合,"unstable clocks" についてのメッセージがデバッグの出力に現れますが,kvmclock kernel の機能を有効にすることでメッセージを削減するようにしました。
- ディスクをマウントする前に,guestfs_sh あるいは sh コマンドを使用した場合,guestfish がセグメンテーションフォールトで終了してしまう問題を,これらのコマンドを実行する前にファイルシステムがマウントしているかどうか検証し,マウントしていない場合はエラーメッセージが表示されるようにすることで修正しました。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
パッケージをアップデートしてください。
The guestfish command in libguestfs 1.20.12, 1.22.7, and earlier, when using the --remote or --listen option, does not properly check the ownership of /tmp/.guestfish-$UID/ when creating a temporary socket file in this directory, which allows local users to write to the socket and execute arbitrary commands by creating /tmp/.guestfish-$UID/ in advance.
N/A
SRPMS
- libguestfs-1.20.11-2.0.1.AXS4.src.rpm
MD5: 8b3273361df9c85b5f4533657e3fe3a8
SHA-256: fe08915f0b808d5341c61165eba8d3a831876fc601f244b70159c2dd4cfea378
Size: 9.33 MB
Asianux Server 4 for x86_64
- libguestfs-1.20.11-2.0.1.AXS4.x86_64.rpm
MD5: 6f781d3d5a89e48d654978e4f75ba0bd
SHA-256: f93a3b453df9f294f6de8239abbb6239a0f78a6d892fb5c9e739989536e9897f
Size: 1.80 MB - libguestfs-java-1.20.11-2.0.1.AXS4.x86_64.rpm
MD5: e219473763065457ce8b6bab8359f847
SHA-256: 3c6a99736eaf0d2d8ef3b7f45aa62f613d7948f78b3e6f9f2ffbf0fd2193ea14
Size: 126.16 kB - libguestfs-tools-1.20.11-2.0.1.AXS4.x86_64.rpm
MD5: 51dfefe810d29ad69da4a66d38a02e55
SHA-256: 4e37426b46d8d792e54157b6c5bc40b2dfe06b7765e2c620c22f162d926bb68e
Size: 86.57 kB - libguestfs-tools-c-1.20.11-2.0.1.AXS4.x86_64.rpm
MD5: 44e21380ea90dfa38961e3d8045937b4
SHA-256: 38030653bde8f97bf37f4538565096a73a9a6f189a8e5c2b7f8fa9c0c590a78a
Size: 1.35 MB - perl-Sys-Guestfs-1.20.11-2.0.1.AXS4.x86_64.rpm
MD5: 2adc563ff2b2baa87605562700fd7bd5
SHA-256: d9a56a48df57f53ce6e1fb01771a00fb730faf71edb8d330b38fa304f1a0ad04
Size: 361.68 kB - python-libguestfs-1.20.11-2.0.1.AXS4.x86_64.rpm
MD5: f93d4a52d3d146ca71ac2f2fd8a86f49
SHA-256: 9b8ff88073e240d2688b39df5ed706c1d4fb95f60086a696a2f1f570164efbe1
Size: 271.73 kB