Debian 安全警报
DSA-1907-1 kvm -- 多个安全漏洞
- 报告日期:
- 2009/10/13
- 受影响的软件:
- kvm
- 可被袭击:
- 是
- 参考的安全性数据库:
- 在 Debian 臭虫追踪系统中: 臭虫 509997, 臭虫 548975.
在 Mitre's CVE 的目录中: CVE-2008-5714, CVE-2009-3290. - 更详尽的信息:
-
Kvm 是一个全虚拟化系统,目前已被发现多个安全漏洞。国际安全组织 CVE (Common Vulnerability and Exposure) 找到以下问题:
- CVE-2008-5714
Chris Webb 发现一个 off-by-one 缺陷,限制了 KVM 的 VNC 密码最多只能有 7 个字元。这个 8 个字元被有意限制成 7 个的瑕疵,可能造成远端攻击者更容易猜到 VNC 的密码。
- CVE-2009-3290
KVM 被发现其 kvm_emulate_hypercall 函式不会防止从 ring 0 存取 MMU hypercalls,这会允许本地客户端 OS 用户导致阻断服务攻击 (客户端内核崩溃) ,或者读写客户端内核内存。
oldstable distribution (etch) 不含 kvm。
对于 stable distribution (lenny), 这些问题已在 72+dfsg-5~lenny3 版被修正。
对于 testing distribution (squeeze) 这些问题很快会被修正。
对于 unstable distribution (sid) 这些问题已在 85+dfsg-4.1 版被修正。
我们建议你更新你的 kvm 软件包。
- CVE-2008-5714
- 修改于:
-
Debian GNU/Linux 5.0 (lenny)
- 来源:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.dsc
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
- 与硬件无关的元件:
- http://security.debian.org/pool/updates/main/k/kvm/kvm-source_72+dfsg-5~lenny3_all.deb
- AMD64:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_i386.deb
列出的档案的 MD5 检查可以由 original advisory 取得。