Debians sikkerhedsbulletin

DSA-3573-1 qemu -- sikkerhedsopdatering

Rapporteret den:
9. maj 2016
Berørte pakker:
qemu
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 823830.
I Mitres CVE-ordbog: CVE-2016-3710, CVE-2016-3712.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i qemu, en hurtig processoremulator.

  • CVE-2016-3710

    Wei Xiao og Qinghao Tang fra 360.cn Inc opdagede en fejl i forbindelse med læsning og skrivning uden for grænserne i QEMU VGA-modulet. En priviligeret gæstebruger kunne udnytte fejlen til at udføre vilkårlig kode på værten, med rettighederne hørende til QEMU-værtsprocessen.

  • CVE-2016-3712

    Zuozhi Fzz fra Alibaba Inc opdagede potentielle problemer med heltalsoverløb eller læseadgang uden for grænserne, i QEMU VGA-modulet. En priviligeret gæstebruger kunne udnytte fejlen til at iværksætte et lammelsesangreb (nedbrud af QEMU-processen).

I den stabile distribution (jessie), er disse problemer rettet i version 1:2.1+dfsg-12+deb8u6.

Vi anbefaler at du opgraderer dine qemu-pakker.