Säkerhetsbulletin från Debian

DSA-2933-1 qemu-kvm -- säkerhetsuppdatering

Rapporterat den:
2014-05-19
Berörda paket:
qemu-kvm
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 745157, Fel 725944.
I Mitres CVE-förteckning: CVE-2013-4344, CVE-2014-2894.
Ytterligare information:

Flera sårbarheter har upptäckts i qemu-kvm, en komplett virtualiseringslösning på x86-hårdvara.

  • CVE-2013-4344

    Buffertspill i SCSI-implementationen i QEMU, när en SCSI-kontroller har mer än 256 anslutna enheter tillåter den lokala användaren att få rättigheter via en liten transferbuffer i ett REPORT LUNS-kommando.

  • CVE-2014-2894

    Off-by-one-fel i funktionen cmd_smart i smarts självtest i hw/ide/core.c i QEMU tillåter lokala användare att få ospecificerad inverkan genom ett SMART EXECUTE OFFLINE-kommando som triggar ett bufferunderspill och minneskorruption.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.1.2+dfsg-6+deb7u3.

Vi rekommenderar att ni uppgraderar era qemu-kvm-paket.