Debian 安全报告

DSA-1907-1 kvm -- 多个安全漏洞

报告日期:
2009/10/13
受影响的软件:
kvm
可被袭击:
参考的安全性数据库:
在 Debian 臭虫追踪系统中: 臭虫 509997, 臭虫 548975.
在 Mitre's CVE 的目录中: CVE-2008-5714, CVE-2009-3290.
更详尽的信息:

Kvm 是一个全虚拟化系统,目前已被发现多个安全漏洞。国际安全组织 CVE (Common Vulnerability and Exposure) 找到以下问题:

  • CVE-2008-5714

    Chris Webb 发现一个 off-by-one 缺陷,限制了 KVM 的 VNC 密码最多只能有 7 个字元。这个 8 个字元被有意限制成 7 个的瑕疵,可能造成远端攻击者更容易猜到 VNC 的密码。

  • CVE-2009-3290

    KVM 被发现其 kvm_emulate_hypercall 函式不会防止从 ring 0 存取 MMU hypercalls,这会允许本地客户端 OS 用户导致阻断服务攻击 (客户端内核崩溃) ,或者读写客户端内核内存。

oldstable distribution (etch) 不含 kvm。

对于 stable distribution (lenny), 这些问题已在 72+dfsg-5~lenny3 版被修正。

对于 testing distribution (squeeze) 这些问题很快会被修正。

对于 unstable distribution (sid) 这些问题已在 85+dfsg-4.1 版被修正。

我们建议你更新你的 kvm 软件包。

修改于:

Debian GNU/Linux 5.0 (lenny)

来源:
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.dsc
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg.orig.tar.gz
与硬件无关的元件:
http://security.debian.org/pool/updates/main/k/kvm/kvm-source_72+dfsg-5~lenny3_all.deb
AMD64:
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_amd64.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_i386.deb

列出的档案的 MD5 检查可以由 original advisory 取得。