Bulletin d'alerte Debian

DLA-1351-1 qemu -- Mise à jour de sécurité pour LTS

Date du rapport :
17 avril 2018
Paquets concernés :
qemu
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 892041.
Dans le dictionnaire CVE du Mitre : CVE-2018-7550.
Plus de précisions :

La fonction load_multiboot dans hw/i386/multiboot.c dans Quick Emulator (c'est-à-dire QEMU) permet aux utilisateurs de l’OS invité d’exécuter du code arbitraire sur l’hôte QEMU à l'aide d'une valeur mh_load_end_addr supérieure à mh_bss_end_addr, ce qui déclenche une lecture hors limites ou un accès en écriture de la mémoire.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u25.

Nous vous recommandons de mettre à jour vos paquets qemu.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.