Debian 安全警報
DSA-1907-1 kvm -- 多個安全漏洞
- 報告日期:
- 2009/10/13
- 受影響的軟件:
- kvm
- 可被襲擊:
- 是
- 參考的安全性資料庫:
- 在 Debian 臭蟲追蹤系統中: 臭蟲 509997, 臭蟲 548975.
在 Mitre's CVE 的目錄中: CVE-2008-5714, CVE-2009-3290. - 更詳盡的資訊:
-
Kvm 是一個全虛擬化系統,目前已被發現多個安全漏洞。國際安全組織 CVE (Common Vulnerability and Exposure) 找到以下問題:
- CVE-2008-5714
Chris Webb 發現一個 off-by-one 缺陷,限制了 KVM 的 VNC 密碼最多隻能有 7 個字元。這個 8 個字元被有意限制成 7 個的瑕疵,可能造成遠端攻擊者更容易猜到 VNC 的密碼。
- CVE-2009-3290
KVM 被發現其 kvm_emulate_hypercall 函式不會防止從 ring 0 存取 MMU hypercalls,這會允許本地客户端 OS 用戶導致阻斷服務攻擊 (客户端核心崩潰) ,或者讀寫客户端核心記憶體。
oldstable distribution (etch) 不含 kvm。
對於 stable distribution (lenny), 這些問題已在 72+dfsg-5~lenny3 版被修正。
對於 testing distribution (squeeze) 這些問題很快會被修正。
對於 unstable distribution (sid) 這些問題已在 85+dfsg-4.1 版被修正。
我們建議你更新你的 kvm 套件。
- CVE-2008-5714
- 修改於:
-
Debian GNU/Linux 5.0 (lenny)
- 來源:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.dsc
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3.diff.gz
- 與硬件無關的元件:
- http://security.debian.org/pool/updates/main/k/kvm/kvm-source_72+dfsg-5~lenny3_all.deb
- AMD64:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/k/kvm/kvm_72+dfsg-5~lenny3_i386.deb
列出的檔案的 MD5 檢查可以由 original advisory 取得。