Bulletin d'alerte Debian

DSA-1799-1 qemu -- Plusieurs vulnérabilités

Date du rapport :
11 mai 2009
Paquets concernés :
qemu
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2008-0928, CVE-2008-4539, CVE-2008-1945.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l'émulateur de processeur QEMU. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2008-0928

    Ian Jackson a découvert que les vérifications de plages d'opérations de fichiers sur périphériques de disque émulés étaient insuffisamment imposées.

  • CVE-2008-1945

    Une erreur dans la détection automatique de format de supports amovibles pourrait conduire à la révélation de fichiers dans le système hôte.

  • CVE-2008-4539

    Un dépassement de tampon a été découvert dans l'émulation de l'adaptateur graphique Cirrus.

Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.8.2-4etch3.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.9.1-10lenny1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.9.1+svn20081101-1.

Nous vous recommandons de mettre à jour vos paquets qemu.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch3.diff.gz
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch3.dsc
AMD64:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch3_amd64.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch3_i386.deb

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.9.1.orig.tar.gz
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.9.1-10lenny1.diff.gz
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.9.1-10lenny1.dsc
AMD64:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.9.1-10lenny1_amd64.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.9.1-10lenny1_i386.deb
PowerPC:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.9.1-10lenny1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.9.1-10lenny1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.