Bulletin d'alerte Debian
DSA-1907-1 kvm -- Plusieurs vulnérabilités
- Date du rapport :
- 13 octobre 2009
- Paquets concernés :
- kvm
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 509997, Bogue 548975.
Dans le dictionnaire CVE du Mitre : CVE-2008-5714, CVE-2009-3290. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans KVM, un système de virtualisation complet. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2008-5714
Chris Webb a découvert un bogue dû à un décalage d'entier limitant les mots de passe VNC de KVM à sept caractères. Ce défaut pourrait permettre aux attaquants distants de deviner plus facilement le mot de passe VNC, qui est limité à sept caractères au lieu des huit prévus.
- CVE-2009-3290
La fonction kvm_emulate_hypercall dans KVM n'empêche pas l'accès aux hyperappels d'unité de gestion mémoire — MMU — de l'anneau 0. Cela permet aux utilisateurs locaux du système d'exploitation client de provoquer un déni de service (plantage du noyau du client) et de lire ou écrire dans la mémoire du noyau du client.
La distribution oldstable (Etch) ne contient pas kvm.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 72+dfsg-5~lenny3.
Pour la distribution testing (Squeeze), ces problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 85+dfsg-4.1
Nous vous recommandons de mettre à jour vos paquets kvm.
- CVE-2008-5714
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.dsc
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/k/kvm/kvm-source_72+dfsg-5~lenny3_all.deb
- AMD64:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_i386.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.