Информация по безопасности / 2015 / Информация о безопасности -- DSA-3362-1 qemu-kvm

Рекомендация Debian по безопасности

DSA-3362-1 qemu-kvm -- обновление безопасности

Дата сообщения:

18.09.2015

Затронутые пакеты:

qemu-kvm

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-5278, CVE-2015-5279, CVE-2015-6815, CVE-2015-6855.

Более подробная информация:

В qemu-kvm, полном решении для виртуализации на оборудовании с архитектурой x86, было обнаружено несколько уязвимостей.

• CVE-2015-5278

  Цюинь Тан из QIHU 360 Inc. обнаружил проблему, приводящую к бесконечному циклу в коде эмуляции NE2000 NIC. Привилегированный пользователь гостевой системы может использовать данную уязвимость для вызова отказа в обслуживании (аварийное завершение работы процесса QEMU).

• CVE-2015-5279

  Цюинь Тан из QIHU 360 Inc. обнаружил переполнение динамической памяти в коде эмуляции NE2000 NIC. Привилегированный пользователь гостевой системы может использовать данную уязвимость для вызова отказа в обслуживании (аварийное завершение работы процесса QEMU), либо для выполнения произвольного кода на хост-системе с правами процесса QEMU.

• CVE-2015-6815

  Цюинь Тан из QIHU 360 Inc. обнаружил проблему, приводящую к бесконечному циклу в коде эмуляции e1000 NIC. Привилегированный пользователь гостевой системы может использовать данную уязвимость для вызова отказа в обслуживании (аварийное завершение работы процесса QEMU).

• CVE-2015-6855

  Цюинь Тан из QIHU 360 Inc. обнаружил уязвимость в подсистеме IDE в QEMU, возникающую во время выполнения команды IDE WIN_READ_NATIVE_MAX для определения максимального размера диска. Привилегированный пользователь гостевой системы может использовать данную уязвимость для вызова отказа в обслуживании (аварийное завершение работы процесса QEMU).

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.1.2+dfsg-6+deb7u11.

Рекомендуется обновить пакеты qemu-kvm.