Säkerhetsbulletin från Debian

DSA-1907-1 kvm -- flera sårbarheter

Rapporterat den:

2009-10-13

Berörda paket:

kvm

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 509997, Fel 548975.
I Mitres CVE-förteckning: CVE-2008-5714, CVE-2009-3290.

Ytterligare information:

Flera sårbarheter har upptäckts i kvm, ett fullt virtualiseringssystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2008-5714
Chris Webb upptäckte ett stegfel som begränsar KVM:s VNC-lösenord till sju tecken. Detta problem kan göra det enklare för angripare utifrån att gissa VNC-lösenordet, som begränsas till sju tecken istället för åtta, som tänkt.
CVE-2009-3290
Det upptäcktes att funktionen kvm_emulate_hypercall i KVM inte hindrar åtkomst till MMU-hyperanrop från ring 0, vilket tillåter lokala gästoperativsystemanvändare att orsaka en överbelastning (krasch av gästkärna) och läsning av eller skrivning till gästkärnans minne.

Den gamla stabila utgåvan (Etch) innehåller inte kvm.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 72+dfsg-5~lenny3.

För uttestningsutgåvan (Squeeze) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 85+dfsg-4.1

Vi rekommenderar att ni uppgraderar era kvm-paket.

Rättat i:

Källkod:: http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.dsc; http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz; http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/k/kvm/kvm-source_72+dfsg-5~lenny3_all.deb
AMD64:: http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_amd64.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_i386.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.