Debians sikkerhedsbulletin

DSA-2932-1 qemu -- sikkerhedsopdatering

Rapporteret den:
19. maj 2014
Berørte pakker:
qemu
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 745157, Fejl 725944.
I Mitres CVE-ordbog: CVE-2013-4344, CVE-2014-2894.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i qemu, en hurtig processoremulator.

  • CVE-2013-4344

    Et bufferoverløb i SCSI-implementeringen i QEMU; når en SCSI-controller har flere end 256 tilsluttede enheder, var det muligt for lokale brugere at opnå forøgede rettigheder ved hjælp af en lille overførselsbuffer i en REPORT LUNS-kommando.

  • CVE-2014-2894

    En forskudt med én-fejl i funktionen cmd_smart smart-selvtesten i hw/ide/core.c i QEMU, gjorde det muligt for lokale brugere at have ikke-angivet indvirkning ved hjælp af en SMART EXECUTE OFFLINE-kommando, som udløste et bufferunderløb og hukommelseskorruption.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.1.2+dfsg-6a+deb7u3.

I distributionen testing (jessie), er disse problemer rettet i version 2.0.0+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 2.0.0+dfsg-1.

Vi anbefaler at du opgraderer dine qemu-pakker.