漏洞信息详情

libguestfs信息泄露漏洞

• CNNVD编号：CNNVD-201011-029
• 危害等级： 低危
  
• CVE编号： CVE-2010-3851
• 漏洞类型： 信息泄露
• 发布时间： 2010-11-08
• 威胁类型： 本地
• 更新时间： 2010-11-08
• 厂        商： libguestfs
• 漏洞来源： Matthew Booth

漏洞简介

LibguestFS是软件开发者Richard Jones所开发的一套开源的用于访问和修改虚拟机磁盘映像文件的工具。

在virt-v2v，virt-inspector 1.5.3以及之前版本也可能在其他产品中使用的libguestfs 1.5.23之前版本中在使用未格式化磁盘镜像时存在信息泄露漏洞。本地访客操作系统管理员可以借助特制的(1)qcow2(2)VMDK或者(3)VDI头从主机端读取文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://rwmj.wordpress.com/2010/10/23/new-libguestfs-stable-versions/

参考网址

来源: MLIST

名称: [Libguestfs] 20101022 [PATCH 0/8 v2] Complete fix for CVE-2010-3851.

链接:https://www.redhat.com/archives/libguestfs/2010-October/msg00041.HTML

来源: MLIST

名称: [Libguestfs] 20101021 [PATCH 0/2] First part of fix for CVE-2010-3851

链接:https://www.redhat.com/archives/libguestfs/2010-October/msg00037.HTML

来源: MLIST

名称: [Libguestfs] 20101019 CVE-2010-3851libguestfs:missing disk format specifier when adding a disk

链接:https://www.redhat.com/archives/libguestfs/2010-October/msg00036.HTML

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=643958

来源: VUPEN

名称: ADV-2010-2874

链接:http://www.vupen.com/english/advisories/2010/2874

来源: BID

名称: 44166

链接:http://www.securityfocus.com/bid/44166

来源: SECUNIA

名称: 41797

链接:http://secunia.com/advisories/41797

来源: rwmj.wordpress.com

链接:http://rwmj.wordpress.com/2010/10/23/new-libguestfs-stable-versions/

来源: FEDORA

名称: FEDORA-2010-16835

链接:http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050237.HTML

受影响实体

• Libguestfs Libguestfs:1.5.6  
• Libguestfs Libguestfs:1.5.22  
• Libguestfs Libguestfs:1.5.4  
• Libguestfs Libguestfs:1.5.7  
• Libguestfs Libguestfs:1.5.10  

补丁

• libguestfs-1.5.23