Debian 安全報告

DSA-1907-1 kvm -- 多個安全漏洞

報告日期:
2009/10/13
受影響的軟體:
kvm
可被襲擊:
參考的安全性資料庫:
在 Debian 臭蟲追蹤系統中: 臭蟲 509997, 臭蟲 548975.
在 Mitre's CVE 的目錄中: CVE-2008-5714, CVE-2009-3290.
更詳盡的資訊:

Kvm 是一個全虛擬化系統,目前已被發現多個安全漏洞。國際安全組織 CVE (Common Vulnerability and Exposure) 找到以下問題:

  • CVE-2008-5714

    Chris Webb 發現一個 off-by-one 缺陷,限制了 KVM 的 VNC 密碼最多隻能有 7 個字元。這個 8 個字元被有意限制成 7 個的瑕疵,可能造成遠端攻擊者更容易猜到 VNC 的密碼。

  • CVE-2009-3290

    KVM 被發現其 kvm_emulate_hypercall 函式不會防止從 ring 0 存取 MMU hypercalls,這會允許本地客戶端 OS 使用者導致阻斷服務攻擊 (客戶端核心崩潰) ,或者讀寫客戶端核心記憶體。

oldstable distribution (etch) 不含 kvm。

對於 stable distribution (lenny), 這些問題已在 72+dfsg-5~lenny3 版被修正。

對於 testing distribution (squeeze) 這些問題很快會被修正。

對於 unstable distribution (sid) 這些問題已在 85+dfsg-4.1 版被修正。

我們建議你更新你的 kvm 套件。

修改於:

Debian GNU/Linux 5.0 (lenny)

來源:
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.dsc
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg.orig.tar.gz
與硬體無關的元件:
http://security.debian.org/pool/updates/main/k/kvm/kvm-source_72+dfsg-5~lenny3_all.deb
AMD64:
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_amd64.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_i386.deb

列出的檔案的 MD5 檢查可以由 original advisory 取得。