Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2909-1 qemu

Bulletin d'alerte Debian

DSA-2909-1 qemu -- Mise à jour de sécurité

Date du rapport :

18 avril 2014

Paquets concernés :

qemu

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 744221.
Dans le dictionnaire CVE du Mitre : CVE-2014-0150.

Plus de précisions :

Michael S. Tsirkin de Red Hat a découvert un défaut de dépassement de tampon dans la façon dont qemu traite les requêtes de l'invité pour mettre à jour les tables d'adresses MAC.

Un utilisateur invité privilégié pourrait utiliser ce défaut pour corrompre la mémoire du processus qemu sur l'hôte, ce qui pourrait éventuellement mener à l'exécution de code arbitraire sur l'hôte avec les droits du processus qemu.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 0.12.5+dfsg-3squeeze4.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.1.2+dfsg-6a+deb7u1.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 1.7.0+dfsg-8.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.7.0+dfsg-8.

Nous vous recommandons de mettre à jour vos paquets qemu.