Debian セキュリティ勧告

DSA-2542-1 qemu-kvm -- 複数の脆弱性

報告日時:
2012-09-08
影響を受けるパッケージ:
qemu-kvm
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-2652, CVE-2012-3515.
詳細:

x86ハードウェア用の完全仮想化環境である KVM に複数の脆弱性が見つかりました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

  • CVE-2012-2652:

    QEMU のスナップショットモード (-snapshot) は、現在の状態を保存するために使う一時ファイルの取り扱いに誤りがあり、 ひとつの競合状態によりシンボリックリンク攻撃 (任意のファイルの上書き並びにゲストの情報の漏洩を含む) に対して脆弱になります。

  • CVE-2012-3515:

    QEMU は、仮想端末の後方処理とともにある種のデバイスをエミュレートする際に VT100 エスケープシーケンスを正しく扱っていません。 ゲスト環境下で脆弱な仮想端末にアクセスできる攻撃者は QEMU のメモリを上書きして権限を qemu プロセスの権限にまで昇格できるかもしれません。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバージョン 0.12.5+dfsg-5+squeeze9 で修正されています。

テスト版 (wheezy) および不安定版 (sid) ディストリビューションでは、これらの問題は近く修正予定です。

直ぐに qemu-kvm パッケージをアップグレードすることを勧めます。