Article ID: 124311, created on Feb 9, 2015, last review on Feb 9, 2015

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo hypervisor
  • Virtual Automation

Situation

Während einer Codeprüfung, die intern von Qualys durchgeführt wurde, wurde ein Heap-basierter Buffer-Overflow in der glibc-Funkion "__nss_hostname_digits_dots()" gefunden. Jene Funktion wird von den Funktionsaufrufen "gethostbyname()" und "gethostbyname2()" verwendet.

Auswirkung der Sicherheitslücke

Aufgrund dieser Sicherheitslücke besteht das Risiko einer Remotecode-Ausführung. Ein Angreifer, der dieses Problem ausnutzt, kann die volle Kontrolle über ein betroffenes System erlangen.

Weitere Information über CVE-2015-0235 finden Sie im Qualys-Blog und auf der Openwall website.

Handlungsempfehlung

Parallels Virtual Automation

  1. Aktualisieren Sie das Host-OS des PVA Management Nodes und des Nodes, auf dem der PVA Agent ausgeführt wird:

    Für RedHat-basierte OSes:

    # yum update glibc
    

    Für Debian/Ubuntu-basierte OSes:

    # apt-get install --only-upgrade libc6
    

    Für SUSE:

    # yast2 --update glibc
    
  2. Starten Sie die PVA-Services neu:

    Auf dem Management Node:

    # service pvamnd restart
    # service pvacc restart
    

    Auf Nodes mit dem PVA Agent:

    # service pvaagentd restart
    # service pvapp restart        
    

Parallels Cloud Server

  1. Es wird empfohlen, Parallels Cloud Server Nodes per yum update zu aktualisieren.

  2. Das Paket sollte ebenfalls in allen Containern und virtuellen Linux Maschinen, die auf dem Node laufen, aktualisiert werden.

    a. Gehen Sie folgendermaßen vor, um das Paket in allen laufenden Containern zu aktualisieren:

    ~# for i in `vzlist -Ho ctid`; do vzpkg update $i -p glibc; done
    

    b. Um das Paket in den angehaltenen Containern zu aktualisieren, müssen Sie diese kurzzeitig starten:

    ~# vzctl start CTID
    ~# vzpkg update CTID -p glibc
    

    c. Um das Paket innerhalb der virtuellen Maschinen zu aktualisieren, verwenden Sie den Paketmanager der entsprechenden Linux Distribution, die in den VMs als Gastsystem läuft. Die VMs müssen neu gestartet werden, damit die Änderungen wirksam werden.

  3. Wenn alle Container und virtuellen Maschinen aktualisiert sind, muss der Hardware Node neu gestartet werden.

Parallels Virtuozzo Containers

Das Paket sollte ebenfalls auf dem Node und in allen laufenden Containern aktualisiert werden.

  1. Es wird empfohlen, Parallels Virtuozzo Containers Nodes per yum update zu aktualisieren.

  2. Gehen Sie folgendermaßen vor, um das Paket in allen laufenden Containern zu aktualisieren:

    ~# for i in `vzlist -Ho ctid`; do vzpkg update $i -p glibc; done
    
  3. Um das Paket in den angehaltenen Containern zu aktualisieren, müssen Sie diese kurzzeitig starten:

    ~# vzctl start CTID
    ~# vzpkg update CTID -p glibc
    
  4. Wenn alle Container aktualisiert sind, muss der Hardware Node neu gestartet werden.

Parallels nimmt die Sicherheit seiner Kunden sehr ernst und rät dringend dazu, die empfohlenen Maßnahmen so schnell wie möglich vorzunehmen.

Wir empfehlen auch, sich wichtige produktbezogene Informationen von Parallels zukommen zu lassen:

a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 d02f9caf3e11b191a38179103495106f e8e50b42231236b82df27684e7ec0beb 0dd5b9380c7d4884d77587f3eb0fa8ef 319940068c5fa20655215d590b7be29b

Email subscription for changes to this article
Save as PDF