Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3259-1 qemu

Debians sikkerhedsbulletin

DSA-3259-1 qemu -- sikkerhedsopdatering

Rapporteret den:

13. maj 2015

Berørte pakker:

qemu

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-9718, CVE-2015-1779, CVE-2015-2756, CVE-2015-3456.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i virtualiseringsløsningen qemu:

• CVE-2014-9718

  Man opdagede at IDE-controlleremuleringen var sårbar over for lammelsesangreb (denial of service).

• CVE-2015-1779

  Daniel P. Berrange opdagede en lammelsesangrebssårbarhed i VNC-websocketdekoderen.

• CVE-2015-2756

  Jan Beulich opdagede at et umæglet PCI-kommandoregister kunne medføre lammelsesangreb.

• CVE-2015-3456

  Jason Geffner opdagede et bufferoverløb i det emulerede diskettedrev, potentielt medførende udførelse af vilkårlig kode.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.1.2+dfsg-6a+deb7u7 af kildekodepakken qemu og i version 1.1.2+dfsg-6+deb7u7 af kildekodepakken qemu-kvm. Kun CVE-2015-3456 påvirker oldstable.

I den stabile distribution (jessie), er disse problemer rettet i version 1:2.1+dfsg-12.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine qemu-pakker.