Bulletin d'alerte Debian

DSA-3362-1 qemu-kvm -- Mise à jour de sécurité

Date du rapport :

18 septembre 2015

Paquets concernés :

qemu-kvm

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans qemu-kvm, une solution complète de virtualisation sur les machines x86.

CVE-2015-5278
Qinghao Tang de QIHU 360 Inc. a découvert un problème de boucle infinie dans l'émulation de la carte d'interface réseau NE2000. Un utilisateur client privilégié pourrait utiliser ce défaut pour monter un déni de service (plantage du processus de QEMU).
CVE-2015-5279
Qinghao Tang de QIHU 360 Inc. a découvert un défaut de dépassement de tampon de tas dans l'émulation de la carte d'interface réseau NE2000. Un utilisateur client privilégié pourrait utiliser ce défaut pour monter un déni de service (plantage du processus de QEMU) ou, éventuellement, pour exécuter du code arbitraire sur l'hôte avec les privilèges du processus hôte de QEMU.
CVE-2015-6815
Qinghao Tang de QIHU 360 Inc. a découvert un problème de boucle infinie dans l'émulation de la carte d'interface réseau e1000. Un utilisateur client privilégié pourrait utiliser ce défaut pour monter un déni de service (plantage du processus de QEMU).
CVE-2015-6855
Qinghao Tang de QIHU 360 Inc. a découvert un défaut dans le sous-système IDE de QEMU lors de l'exécution de la commande WIN_READ_NATIVE_MAX d'IDE pour déterminer la taille d'un disque. Un utilisateur client privilégié pourrait utiliser ce défaut pour monter un déni de service (plantage du processus de QEMU).

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6+deb7u11.

Nous vous recommandons de mettre à jour vos paquets qemu-kvm.