Säkerhetsbulletin från Debian

DSA-3573-1 qemu -- säkerhetsuppdatering

Rapporterat den:
2016-05-09
Berörda paket:
qemu
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 823830.
I Mitres CVE-förteckning: CVE-2016-3710, CVE-2016-3712.
Ytterligare information:

Flera sårbarheter har upptäckts i qemu, en snabb processoremulator.

  • CVE-2016-3710

    Wei Xiao och Qinghao Tang från 360.cn Inc upptäckte en brist rörande läsning och skrivning utanför gränserna i QEMUs VGA-modul. En priviligierad gästanvändare kunde utnyttja denna brist för att köra godtycklig kod på värden med samma rättigheter som värdens QEMU-process.

  • CVE-2016-3712

    Zuozhi Fzz fråm Alibaba Inc upptäckte ett potentiellt heltalsspill eller läsningsåtkomst utanför gränserna i QEMUs VGA-modul. En priviligierad gästanvändare kunde utnyttja denna brist för att starta ett överbelastningsangrepp (krasch av QEMU-processen).

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:2.1+dfsg-12+deb8u6.

Vi rekommenderar att ni uppgraderar era qemu-paket.