Информация по безопасности / 2015 / Информация о безопасности -- DSA-3259-1 qemu

Рекомендация Debian по безопасности

DSA-3259-1 qemu -- обновление безопасности

Дата сообщения:

13.05.2015

Затронутые пакеты:

qemu

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-9718, CVE-2015-1779, CVE-2015-2756, CVE-2015-3456.

Более подробная информация:

В qemu, решении для виртуализации, было обнаружено несколько уязвимостей:

• CVE-2014-9718

  Было обнаружено, что эмуляция контроллера IDE вероятно может приводить к отказу в обслуживании.

• CVE-2015-1779

  Дэниэль П. Берранж обнаружил отказ в обслуживании в декодере веб-сокета VNC.

• CVE-2015-2756

  Ян Бёлих обнаружил, что непосредственный регистр команд PCI может приводить к отказу в обслуживании.

• CVE-2015-3456

  Джейсон Геффнер обнаружил переполнение буфера в коде эмуляции дисковода, которое приводит к потенциальному выполнению произвольного кода.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.1.2+dfsg-6a+deb7u7 пакета с исходным кодом qemu и в версии 1.1.2+dfsg-6+deb7u7 пакета с исходным кодом qemu-kvm. Для предыдущего стабильного выпуска актуальна только CVE-2015-3456.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1:2.1+dfsg-12.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты qemu.