LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1646-1 qemu

Bulletin d'alerte Debian

DLA-1646-1 qemu -- Mise à jour de sécurité pour LTS

Date du rapport :

29 janvier 2019

Paquets concernés :

qemu

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-17958, CVE-2018-19364, CVE-2018-19489.

Plus de précisions :

Plusieurs vulnérabilités ont été trouvées dans QEMU, un émulateur rapide de processeur.

• CVE-2018-17958

  L’émulateur rtl8139 est sujet à un dépassement d'entier résultant en un dépassement de tampon. Cette vulnérabilité peut être déclenchée par des attaquants distants à l’aide de paquets contrefaits pour réaliser un déni de service (à l’aide de l’accès au tampon de pile OOB).

• CVE-2018-19364

  Le sous-système 9pfs est sujet à une situation de compétition permettant aux processus légers de modifier un chemin fid alors qu’un autre processus y a accès, menant (par exemple) à une utilisation de mémoire après libération. Cette vulnérabilité peut être déclenchée par des attaquants locaux pour réaliser un déni de service.

• CVE-2018-19489

  Le sous-système 9pfs est sujet à une situation de compétition lors du renommage de fichier. Cette vulnérabilité peut être déclenchée par des attaquants locaux pour réaliser un déni de service.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1:2.1+dfsg-12+deb8u9.

Nous vous recommandons de mettre à jour vos paquets qemu.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.