Рекомендация Debian по безопасности

DSA-2545-1 qemu -- многочисленные уязвимости

Дата сообщения:
08.09.2012
Затронутые пакеты:
qemu
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-2652, CVE-2012-3515.
Более подробная информация:

В QEMU, быстром эмуляторе процессора, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2012-2652:

    Режим срезов QEMU (-snapshot) неправильно обрабатывает временные файлы, используемые для хранения текущего состояния, что делает его уязвимым к атакам через символьные ссылки (включая перезапись произвольных файлов и раскрытие информации гостевой системы) из-за состояния гонки.

  • CVE-2012-3515:

    QEMU неправильно обрабатывает экранирующие последовательности VT100 при эмуляции определённых устройств с движком виртуальной консоли. Злоумышленник в гостевой системе, имеющий доступ к уязвимой виртуальной консоли, может перезаписать содержимое памяти QEMU и повысить свои привилегии до уровня процесса qemu.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.12.5+dfsg-3squeeze2.

В тестируемом (wheezy) и нестабильном (sid) выпуска эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты qemu.