Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2910-1 qemu-kvm

Säkerhetsbulletin från Debian

DSA-2910-1 qemu-kvm -- säkerhetsuppdatering

Rapporterat den:

2014-04-18

Berörda paket:

qemu-kvm

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-0150.

Ytterligare information:

Michael S. Tsirkin från Red Hat upptäckte ett buffertspill i sättet som qemu behandlar uppdateringsförfrågningar av MAC-adresstabeller från gästen.

En priviligerad gästanvändare kunde använda detta problem för att korrumpera qemus processminne på värden, vilket potentiellt kunde leda till en körning av illasinnad kod i värden med samma rättigheter som qemu-processen.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 0.12.5+dfsg-5+squeeze11.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.1.2+dfsg-6+deb7u1.

Vi rekommenderar att ni uppgraderar era qemu-kvm-paket.