Bulletin d'alerte Debian

DSA-3920-1 qemu -- Mise à jour de sécurité

Date du rapport :
25 juillet 2017
Paquets concernés :
qemu
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-9310, CVE-2017-9330, CVE-2017-9373, CVE-2017-9374, CVE-2017-10664, CVE-2017-10911.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur rapide de processeur  :

  • CVE-2017-9310

    Déni de service grâce à une boucle infinie dans l'émulation de la carte d'interface réseau e1000e.

  • CVE-2017-9330

    Déni de service grâce à une boucle infinie dans l'émulation de l'interface OHCI USB.

  • CVE-2017-9373

    Déni de service grâce à une fuite de mémoire dans l'émulation de l'interface AHCI IDE.

  • CVE-2017-9374

    Déni de service grâce à une fuite de mémoire dans l'émulation de l'interface EHCI USB.

  • CVE-2017-10664

    Déni de service dans le serveur qemu-nbd.

  • CVE-2017-10911

    Fuite d'informations dans le traitement des réponses blkif de Xen.

Pour la distribution oldstable (Jessie), une annonce de sécurité particulière sera publiée.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1:2.8+dfsg-6+deb9u1.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets qemu.