Debians sikkerhedsbulletin

DSA-3920-1 qemu -- sikkerhedsopdatering

Rapporteret den:
25. jul 2017
Berørte pakker:
qemu
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-9310, CVE-2017-9330, CVE-2017-9373, CVE-2017-9374, CVE-2017-10664, CVE-2017-10911.
Yderligere oplysninger:

Adskillige sårbarheder blev fundet i qemu, en hurtig processoremulator:

  • CVE-2017-9310

    Lammelsesangreb gennem uendelig løkke i emulering af e1000e NIC.

  • CVE-2017-9330

    Lammeslesangreb gennem uendelig løkke i emulering af USB OHCI.

  • CVE-2017-9373

    Lammelsesangreb gennem hukommelseslækage i emulering af IDE AHCI.

  • CVE-2017-9374

    Lammelsesangreb gennem hukommelseslækage i emulering af USB EHCI.

  • CVE-2017-10664

    Lammelsesangreb i serveren qemu-nbd.

  • CVE-2017-10911

    Informationslækage i svarhåndteringen i Xen blkif.

Vedrørende den gamle stabile distribution (jessie), vil en separat DSA blive udsendt.

I den stabile distribution (stretch), er disse problemer rettet i version 1:2.8+dfsg-6+deb9u1.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine qemu-pakker.