製品・ソフトウェアに関する情報

JVN脆弱性詳細

libvirt の lxc/lxc_driver.c 内の lxcDomainGetMemoryParameters メソッドにおけるサービス運用妨害 (DoS) の脆弱性

Title	libvirt の lxc/lxc_driver.c 内の lxcDomainGetMemoryParameters メソッドにおけるサービス運用妨害 (DoS) の脆弱性
Summary	libvirt の lxc/lxc_driver.c 内の lxcDomainGetMemoryParameters メソッドは、メモリチューナブル (memory tunable) を読み込む際、LXC ゲストのステータスを適切にチェックしないため、サービス運用妨害 (NULL ポインタデリファレンスおよび libvirtd クラッシュ) 状態にされる脆弱性が存在します。
Possible impacts	ローカルユーザにより、シャットダウンステータスのゲストを介して、サービス運用妨害 (NULL ポインタデリファレンスおよび libvirtd クラッシュ) 状態にされる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 20, 2013, midnight
Registration Date	Jan. 9, 2014, 4:44 p.m.
Last Update	Jan. 9, 2014, 4:44 p.m.

Affected System

レッドハット

libvirt 1.0.5 から 1.2.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-6436	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6436
libvirt.org
2	CVE-2013-6436: fix crash in lxcDomainGetMemoryParameters	http://libvirt.org/git/?p=libvirt.git;a=commit;h=f8c1cb90213508c4f32549023b0572ed774e48aa
National Vulnerability Database (NVD)
3	CVE-2013-6436	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6436

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Red Hat
1	[libvirt] SECURITY: CVE-2013-6436: libvirtd daemon crash when reading memory tunables for LXC guest in shutoff status	https://www.redhat.com/archives/libvir-list/2013-December/msg01170.html
Red Hat Bugzilla
2	Bug 1042252	https://bugzilla.redhat.com/show_bug.cgi?id=1042252

Change Log

No	Changed Details	Date of change
0	[2014年01月09日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-6436

Summary	The lxcDomainGetMemoryParameters method in lxc/lxc_driver.c in libvirt 1.0.5 through 1.2.0 does not properly check the status of LXC guests when reading memory tunables, which allows local users to cause a denial of service (NULL pointer dereference and libvirtd crash) via a guest in the shutdown status, as demonstrated by the "virsh memtune" command.
Publication Date	Jan. 8, 2014, 4:55 a.m.
Registration Date	Jan. 26, 2021, 3:47 p.m.
Last Update	Nov. 21, 2024, 10:59 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://libvirt.org/git/?p=libvirt.git%3Ba=commit%3Bh=f8c1cb90213508c4f32549023b0572ed774e48aa
2	http://libvirt.org/git/?p=libvirt.git%3Ba=commit%3Bh=f8c1cb90213508c4f32549023b0572ed774e48aa
3	http://lists.opensuse.org/opensuse-updates/2014-01/msg00004.html
4	http://lists.opensuse.org/opensuse-updates/2014-01/msg00004.html
5	http://osvdb.org/101485
6	http://osvdb.org/101485
7	http://secunia.com/advisories/56245
8	http://secunia.com/advisories/56245
9	http://secunia.com/advisories/60895
10	http://secunia.com/advisories/60895
11	http://security.gentoo.org/glsa/glsa-201412-04.xml
12	http://security.gentoo.org/glsa/glsa-201412-04.xml
13	http://www.ubuntu.com/usn/USN-2093-1
14	http://www.ubuntu.com/usn/USN-2093-1
15	https://www.redhat.com/archives/libvir-list/2013-December/msg01170.html
16	https://www.redhat.com/archives/libvir-list/2013-December/msg01170.html

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html