Debian セキュリティ勧告

DSA-2932-1 qemu -- セキュリティ更新

報告日時:
2014-05-19
影響を受けるパッケージ:
qemu
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 745157, バグ 725944.
Mitre の CVE 辞書: CVE-2013-4344, CVE-2014-2894.
詳細:

脆弱性が複数 qemu、高速なプロセッサエミュレータに発見されました。

  • CVE-2013-4344

    QEMU の SCSI 実装にバッファオーバーフローがあり、SCSI コントローラーに接続されている機器が256以上ある場合に REPORT LUNS コマンドの小さな転送バッファを経由して、 ローカルユーザに権限の獲得を許します。

  • CVE-2014-2894

    QEMU の hw/ide/core.c 中の SMART Self-test を行う cmd_smart 関数に境界を1間違うエラーがあり、SMART EXECUTE OFFLINE コマンドがバッファアンダーフローやメモリ破壊を引き起こすことによって、 ローカルユーザが不特定の影響を与えることが可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.1.2+dfsg-6a+deb7u3 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 2.0.0+dfsg-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.0.0+dfsg-1 で修正されています。

直ちに qemu パッケージをアップグレードすることを勧めます。