Article ID: 116086, created on May 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor 5.0

Descrizione

Di recente è stata identificata una vulnerabilità nel kernel Linux (CVE-2013-2094) che può consentire a utenti locali di ottenere privilegi root (evento 0-day)).

Prodotti interessati

Parallels Virtuozzo Containers for Linux v4.7, Parallels Server Bare Metal v5.0 e Parallels Cloud Server v6.0 sono interessati da questa vulnerabilità. Parallels fornisce il proprio kernel Linux con questi prodotti.
 
La stessa vulnerabilità può interessare anche altri host Linux come quelli che eseguono RedHat, CentOS, Debian e altre distribuzioni Linux. Consultare la sezione “Altri collegamenti utili” di seguito.
 
NOTA: Parallels Virtuozzo Containers for Linux v4.0 e 4.6 NON sono interessati dal problema.

Impatto

- Escalation dei privilegi: qualsiasi utente locale può ottenere privilegi root.
- Disponibile senza controllo

Pre-requisiti per sfruttare l'evento

- È necessario un account utente locale (non è possibile un attacco remoto)

Raccomandazioni

Si consiglia vivamente a tutti i clienti di aggiornare il kernel dei prodotti Parallels prima possibile alla versione 2.6.32-042stab076.8 o successive per i prodotti PVC, PSBM e PCS.
 
I clienti inoltre devono aggiornare il kernel di altri host Linux non appena gli aggiornamenti verranno resi disponibili dal fornitore.
- Red Hat per RedHat Enterprise Linux (in attesa di aggiornamento da Red Hat)
- Altri fornitori Linux

Collegamenti a Parallels Update

Gli aggiornamenti per i prodotti Parallels interessati sono disponibili ai collegamenti indicati sotto:
 
Parallels Virtuozzo Containers for Linux 4.7 http://kb.sp.parallels.com/en/116084
Parallels Server Bare Metal 5.0 http://kb.sp.parallels.com/en/116085
Parallels Cloud Server 6.0 http://kb.sp.parallels.com/en/116087

OAltri collegamenti utili

* vulnerabilità ID: CVE-2013-2094, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2094
* RHEL 6.x bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=962792
* Fedora bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=962799
* Debian: https://security-tracker.debian.org/tracker/CVE-2013-2094

0c05f0c76fec3dd785e9feafce1099a9 2897d76d56d2010f4e3a28f864d69223 d02f9caf3e11b191a38179103495106f e8e50b42231236b82df27684e7ec0beb c662da62f00df94fd77ba7a2c9eff4b4 a26b38f94253cdfbf1028d72cf3a498b c62e8726973f80975db0531f1ed5c6a2 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article
Save as PDF