Säkerhetsbulletin från Debian
DSA-3259-1 qemu -- säkerhetsuppdatering
- Rapporterat den:
- 2015-05-13
- Berörda paket:
- qemu
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-9718, CVE-2015-1779, CVE-2015-2756, CVE-2015-3456.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i virtualiseringslösningen qemu:
- CVE-2014-9718
Man har upptäckt att IDE-kontrolleremulationen är sårbar för överbelastning.
- CVE-2015-1779
Daniel P. Berrange upptäckte en överbelastningssårbarhet i VNC websocketavkodaren.
- CVE-2015-2756
Jan Beulich upptäckte att oförmedlade PCI-kommandoregister kunde resultera i överbelastning.
- CVE-2015-3456
Jason Geffner upptäckte ett buffertspill i den emulerade floppydiskenheten, vilket resulterar i potentiell körning av godtycklig kod.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.1.2+dfsg-6a+deb7u7 av källkodspaketet qemu och i version 1.1.2+dfsg-6+deb7u7 av källkodspaketet qemu-kvm . Endast CVE-2015-3456 påverkar oldstable.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:2.1+dfsg-12.
För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era qemu-paket.
- CVE-2014-9718