Debians sikkerhedsbulletin

DSA-2230-1 qemu-kvm -- flere sårbarheder

Rapporteret den:
1. maj 2011
Berørte pakker:
qemu-kvm
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 611134, Fejl 624177.
I Mitres CVE-ordbog: CVE-2011-0011, CVE-2011-1750.
Yderligere oplysninger:

To sårbarheder blev fundet i KVM, en løsning til fuld virtualisering på x86-hardware:

  • CVE-2011-0011

    Opsætning af VNC-adgangskoden til en tom string, slog i stilhed al autentifikation fra.

  • CVE-2011-1750

    Driveren virtio-blk udførte utilstrækkelig validering af læsnings-/skrivnings-I/O fra gæsteinstansen, hvilket kunne føre til lammelsesangreb eller rettighedsforøgelse.

Den gamle stabile distribution (lenny) er ikke påvirket at dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 0.12.5+dfsg-5+squeeze1.

Den ustabile distribution (sid) vil snart blive rettet.

Vi anbefaler at du opgraderer dine qemu-kvm-pakker.