Рекомендация Debian по безопасности

DSA-3066-1 qemu -- обновление безопасности

Дата сообщения:
06.11.2014
Затронутые пакеты:
qemu
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 765496.
В каталоге Mitre CVE: CVE-2014-3689, CVE-2014-7815.
Более подробная информация:

В qemu, быстром эмуляторе процессора, были обнаружены несколько уязвимостей.

  • CVE-2014-3689

    Команда Advanced Threat Research из Intel Security сообщила о том, что параметр, передаваемый гостевой системой, недостаточно проверялся в функциях отрисовки прямоугольников в драйвере vmware-vga. Пользователь гостевой системы с соответствующими правами может использовать данную уязвимость для записи в адресное пространство qemu на хост-машине, что может приводить к повышению привилегий до уровня хост-процесса qemu.

  • CVE-2014-7815

    Джеймс Спадаро из Cisco сообщил о недостаточной очистке параметра bits_per_pixel, передаваемого клиентом в дисплейный драйвер QEMU VNC. Злоумышленник, имеющий доступ к VNC-консоли на гостевой системе, может использовать эту уязвимость для аварийного завершения работы гостевой системы.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.1.2+dfsg-6a+deb7u5.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.1+dfsg-7.

Рекомендуется обновить пакеты qemu.