LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1350-1 qemu-kvm

Bulletin d'alerte Debian

DLA-1350-1 qemu-kvm -- Mise à jour de sécurité pour LTS

Date du rapport :

17 avril 2018

Paquets concernés :

qemu-kvm

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 892041.
Dans le dictionnaire CVE du Mitre : CVE-2018-7550.

Plus de précisions :

La fonction load_multiboot dans hw/i386/multiboot.c dans Quick Emulator (c'est-à-dire QEMU) permet aux utilisateurs de l’OS invité d’exécuter du code arbitraire sur l’hôte QEMU à l'aide d'une valeur mh_load_end_addr supérieure à mh_bss_end_addr, ce qui déclenche une lecture hors limites ou un accès en écriture de la mémoire.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u25.

Nous vous recommandons de mettre à jour vos paquets qemu-kvm.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.