Bulletin d'alerte Debian
DLA-1350-1 qemu-kvm -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 17 avril 2018
- Paquets concernés :
- qemu-kvm
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 892041.
Dans le dictionnaire CVE du Mitre : CVE-2018-7550. - Plus de précisions :
-
La fonction load_multiboot dans hw/i386/multiboot.c dans Quick Emulator (c'est-à-dire QEMU) permet aux utilisateurs de l’OS invité d’exécuter du code arbitraire sur l’hôte QEMU à l'aide d'une valeur mh_load_end_addr supérieure à mh_bss_end_addr, ce qui déclenche une lecture hors limites ou un accès en écriture de la mémoire.
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u25.Nous vous recommandons de mettre à jour vos paquets qemu-kvm.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.