Plusieurs vulnérabilités importantes corrigées dans RedHat Virtualization 4

Plusieurs vulnérabilités ont été corrigées dans RedHat Virtualization 4 pour RHEL 7. L'exploitation de ces vulnérabilités permettrait une atteinte à l'intégrité des fichiers, un contournement de mesures de sécurité, une injection de code, un déni de service, une traversée de chemin ou encore une atteinte à la confidentialité des données.

Les vulnérabilités importantes sont :

  • CVE-2018-10862 [CVSS : 7.6] : vulnérabilité de type traversée de chemin pouvant permettre l'exécution de code arbitraire à distance.
  • CVE-2018-10915 [CVSS : 8.5] : vulnérabilité dans la librairie PostgreSQL, libpq. Un attaquant, en modifiant les paramètres de connexion "host" ou "hostaddr", pourrait contourner les mesures de sécurité pour réaliser des injections SQL.
  • CVE-2018-10897 [CVSS : 8.8] : vulnérabilité de type traversée de chemin pouvant permettre de compromettre un système en remplaçant des fichiers système critiques.

Les détails techniques des autres vulnérabilités sont disponibles ici et ici.

Informations
+

Risques

  • Déni de service
  • Atteinte à la confidentialité et à l'intégrité des fichiers
  • Exécution de code arbitraire à distance
  • Contournement de mesures de sécurité

Criticité

  • CVSS v3 : 8.8 (CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation des vulnérabilités n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Red Hat Virtualization 4 x86_64
  • Red Hat Virtualization Host 4 x86_64

CVE


Recommandations
+

Correctifs

  • Un correctif de sécurité a été publié par RedHat.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.