Bulletin d'alerte Debian

DLA-573-1 qemu -- Mise à jour de sécurité pour LTS

Date du rapport :
30 juillet 2016
Paquets concernés :
qemu
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5239, CVE-2016-2857, CVE-2016-4020, CVE-2016-4439, CVE-2016-5403, CVE-2016-6351.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans QEMU, un émulateur de processeur rapide. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2015-5239

    Lian Yihan a découvert que QEMU gérait incorrectement certaines charges utiles de message dans le pilote d'affichage de VNC. Un client malveillant pourrait utiliser ce problème pour provoquer le blocage du processus de QEMU, avec pour conséquence un déni de service.

  • CVE-2016-2857

    Ling Liu a découvert que QEMU gérait incorrectement les routines de sommes de contrôle IP. Un attaquant dans le client pourrait utiliser ce problème pour provoquer le plantage de QEMU, avec pour conséquence un déni de service, ou éventuellement la divulgation d'octets de la mémoire de l'hôte.

  • CVE-2016-4020

    Donghai Zdh a découvert que QEMU gérait incorrectement le TPR (Task Priority Register). Un attaquant privilégié dans le client pourrait utiliser ce problème pour éventuellement la divulgation d'octets de la mémoire de l'hôte.

  • CVE-2016-4439

    , CVE-2016-6351

    Li Qiang a découvert que l'émulation du contrôleur Fast SCSI (FSC) 53C9X est affectée par des problèmes d'accès hors limites.

  • CVE-2016-5403

    Zhenhao Hong a découvert qu'un administrateur client malveillant peut provoquer une allocation de mémoire illimitée dans QEMU (ce qui peut provoquer une condition d'épuisement de mémoire) en soumettant des requêtes virtio sans prendre la peine d'attendre leur achèvement.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u14.

Nous vous recommandons de mettre à jour vos paquets qemu.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.