Platform
linux
Component
virt-install
Opgelost in
2.2.1
CVE-2019-10183 beschrijft een informatielek in de virt-install utility, gebruikt voor het provisioneren van virtuele machines. Door het gebruik van de '--unattended' optie, waarbij wachtwoorden voor gast-VM's via de commandoregel worden doorgegeven, kunnen deze wachtwoorden zichtbaar worden voor andere gebruikers op het systeem via proceslijsten. Dit probleem treedt op in versies 2.2.0 en hoger van virt-manager.
De impact van dit informatielek is dat andere gebruikers op hetzelfde systeem de wachtwoorden van virtuele machines kunnen achterhalen. Dit kan leiden tot ongeautoriseerde toegang tot de virtuele machines en de daarin opgeslagen data. Hoewel de CVSS score laag is, kan de impact significant zijn in omgevingen waar gevoelige informatie in virtuele machines wordt opgeslagen of waar de beveiliging van virtuele machines cruciaal is. Het lek maakt het mogelijk om de wachtwoorden te achterhalen door simpelweg de actieve processen op het systeem te bekijken.
Deze kwetsbaarheid is openbaar bekend en beschreven. Er is geen indicatie van actieve exploitatie in de wildernis op het moment van publicatie. De KEV status is momenteel onbekend. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend.
Exploit Status
EPSS
0.14% (34% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar versie 2.2.1 of hoger van virt-manager, waarin het probleem is verholpen. Als een upgrade momenteel niet mogelijk is, kan het gebruik van de '--unattended' optie worden vermeden. Alternatief kan de toegang tot de virtuele machines worden beperkt door middel van sterke authenticatiemethoden en toegangscontroles. Controleer ook de rechten van gebruikers op het systeem om te voorkomen dat ze processen van andere gebruikers kunnen bekijken.
Vermijd het gebruik van de optie '--unattended' met wachtwoorden direct op de command line. Indien automatisering van de virtuele machine creatie noodzakelijk is, gebruik dan veiligere methoden om de wachtwoorden te verstrekken, zoals omgevingsvariabelen of configuratiebestanden met beperkte permissies. Update naar een latere versie van virt-manager die dit probleem oplost, indien beschikbaar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-10183 is a LOW severity vulnerability in virt-install where VM passwords passed via the --unattended option are exposed to other users on the system via process listing.
You are affected if you are using virt-install version 2.2.0 or earlier and utilizing the --unattended option for VM creation.
Upgrade virt-install to version 2.2.1 or later to resolve the vulnerability. Alternatively, disable the --unattended option or restrict process listing permissions.
There is no current evidence of active exploitation campaigns targeting CVE-2019-10183, but the ease of exploitation warrants attention.
Refer to the Red Hat security advisory for details: https://access.redhat.com/security/cve/CVE-2019-10183
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.