Рекомендация Debian по безопасности

DSA-2933-1 qemu-kvm -- обновление безопасности

Дата сообщения:
19.05.2014
Затронутые пакеты:
qemu-kvm
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 745157, Ошибка 725944.
В каталоге Mitre CVE: CVE-2013-4344, CVE-2014-2894.
Более подробная информация:

В qemu-kvm, полном решении для виртуализации для оборудования с архитектурой x86, были обнаружены несколько уязвимостей.

  • CVE-2013-4344

    Переполнение буфера в реализации SCSI в QEMU, возникающие когда контроллер SCSI имеет более 256 подключённых устройств, это позволяет локальным пользователям получать привилегии через небольшой передаточный буфер в команде REPORT LUNS.

  • CVE-2014-2894

    Ошибка логики в функции cmd_smart в самодиагностике smart в hw/ide/core.c из QEMU позволяет локальным пользователям оказывать воздействие на работу эмулятора через команду SMART EXECUTE OFFLINE, что приводит к переполнению буфера и порче содержимого памяти.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.1.2+dfsg-6+deb7u3.

Рекомендуется обновить пакеты qemu-kvm.