Article ID: 116086, created on May 15, 2013, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor 5.0

説明

ローカルユーザが root 権限を取得できてしまうという Linux カーネルの脆弱性(CVE-2013-2094)が発表されました(「0-day exploit(0 デイ攻撃)」)。

影響を受ける製品

Parallels Virtuozzo Containers for Linux v4.7、Parallels Server Bare Metal v5.0、および Parallels Cloud Server v6.0 がこの脆弱性の影響を受けます。Parallels はこれらの製品とともに独自の Linux カーネルを提供しています。

この脆弱性は、RedHat、CentOS、Debian、その他の Linux ディストリビューションを実行するホストなど、その他の Linux ホストにも影響を与えます。以下の「その他の役に立つリンク」を参照してください。

注:Parallels Virtuozzo Containers for Linux v4.0 および 4.6 は影響を受けません。

影響

- 権限のエスカレーション:すべてのローカルユーザが root 権限を取得できる。
- この脆弱性は幅広く悪用される危険性がある。

この脆弱性の悪用にあたっての前提

- ローカルユーザアカウントが必要(リモート攻撃は不可能

推奨事項

すべてのお客様に対し、早急に、PVC、PSBM、および PCS のカーネルを Parallels カーネルバージョン 2.6.32-042stab076.8 またはそれ以降に更新することを強く推奨します。

その他の Linux ホストのカーネルについても、ベンダーから提供され次第、早急に更新する必要があります。
- RedHat: RedHat Enterprise Linux(Redhat からのアップデートは未提供)
- その他の Linux ベンダー

Parallels アップデートへのリンク

影響を受ける Parallels 製品のアップデートは、以下のリンク先で提供されています。

Parallels Virtuozzo Containers for Linux 4.7 http://kb.sp.parallels.com/en/116084
Parallels Server Bare Metal 5.0 http://kb.sp.parallels.com/en/116085
Parallels Cloud Server 6.0 http://kb.sp.parallels.com/en/116087
Parallels Plesk Panel http://kb.sp.parallels.com/en/116126

その他の役に立つリンク

* 脆弱性 ID:CVE-2013-2094, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2094
* RHEL 6.x アドバイザリー:https://rhn.redhat.com/errata/RHSA-2013-0830.html
* Fedora bugzilla:https://bugzilla.redhat.com/show_bug.cgi?id=962799
* Debian:http://www.debian.org/security/2013/dsa-2669

0c05f0c76fec3dd785e9feafce1099a9 2897d76d56d2010f4e3a28f864d69223 d02f9caf3e11b191a38179103495106f e8e50b42231236b82df27684e7ec0beb c662da62f00df94fd77ba7a2c9eff4b4 a26b38f94253cdfbf1028d72cf3a498b c62e8726973f80975db0531f1ed5c6a2 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article