Bulletin d'alerte Debian

DLA-249-1 qemu-kvm -- Mise à jour de sécurité pour LTS

Date du rapport :
19 juin 2015
Paquets concernés :
qemu-kvm
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3456.
Plus de précisions :

Une vulnérabilité a été découverte dans la solution de virtualisation qemu :

  • CVE-2015-3456

    Jason Geffner a découvert un dépassement de tampon dans l'émulation de lecteur de disquette, avec pour conséquence l'éventuelle exécution de code arbitraire.

    Malgré la fin de vie de la prise en charge de qemu-kvm dans la distribution old-oldstable (Squeeze-lts), ce problème a été corrigé dans la version 0.12.5+dfsg-5+squeeze11 du paquet source qemu-kvm en raison de sa gravité (la vulnérabilité appelée VENOM).

    D'autres problèmes peuvent demeurer dans le paquet qemu-kvm de la distribution old-oldstable (Squeeze-lts) et les utilisateurs qui ont besoin de se fier à qemu-kvm sont encouragés à migrer vers une version plus récente de Debian.

    Nous vous recommandons de mettre à jour vos paquets qemu-kvm.