Vulnérabilité sur virt-bootstrap - Le Bootstrapeur de Libvirt

Date de publication : 29/09/2022

Virt-bootstrap est un outil simplifiant la configuration du système de fichier racine pour les conteneurs basés sur la technologie libvirt. Une vulnérabilité permettant de trouver le mot de passe racine a été corrigé.

CVE-2019-13314[Score CVSS v3 : 7.8] : Cette vulnérabilité affecte l’outil virt-bootstrap (<=v1.1.0). Son exploitation peut permettre à un attaquant local et authentifié d’obtenir le mot de passe de l’utilisateur racine.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exposition d’informations sensibles
Élévation de privilèges

Criticité

Score CVSS v3 : 7.8

Existence d’un code d’exploitation

L’utilisation de la commande “virt_bootstrap.py” pour visualiser les processus en cours combiné avec l’option “--root-password” permet, pour certains processus, d’afficher le mot de passe racine.

Composants vulnérables

virt-bootstrap (<=v1.1.0)

CVE

CVE-2019-13314

Solutions ou recommandations

Mise en place de correctifs de sécurité

Installation des correctifs de sécurité correspondants (selon la version de python utilisée) :

python2-virt-bootstrap-1.0.0-lp151.4.3.1
python3-virt-bootstrap-1.0.0-lp151.4.3.1

Solution de contournement

Aucune solution de contournement n’a été publiée à ce jour.

Liens

openSUSE - Mise à jour de sécurité pour virt-bootstrap