Рекомендация Debian по безопасности
DSA-1907-1 kvm -- несколько уязвимостей
- Дата сообщения:
- 13.10.2009
- Затронутые пакеты:
- kvm
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 509997, Ошибка 548975.
В каталоге Mitre CVE: CVE-2008-5714, CVE-2009-3290. - Более подробная информация:
-
В kvm, полной системе виртуализации, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2008-5714
Крис Уэбб обнаружил ошибку на единицу, ограничивающую пароли в реализации VNC для KVM 7 символами. Эта уязвимость может облегчить удалённым злоумышленникам подбор пароля VNC, который ограничен семью символами, хотя предполагается ограничение в восемь символов.
- CVE-2009-3290
Было обнаружено, что функция kvm_emulate_hypercall в KVM не предотвращает доступ к гипервызовам MMU из ring 0, что позволяет пользователям локальных гостевых ОС вызывать отказ в обслуживании (аварийная остановка ядра гостевой системы), а также выполнять чтение и запись в память ядра гостевой системы.
В предыдущем стабильном выпуске (etch) пакет kvm отсутствует.
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 72+dfsg-5~lenny3.
В тестируемом выпуске (squeeze) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 85+dfsg-4.1
Рекомендуется обновить пакеты kvm.
- CVE-2008-5714
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.dsc
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/k/kvm/kvm-source_72+dfsg-5~lenny3_all.deb
- AMD64:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_i386.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.