Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3362-1 qemu-kvm

Säkerhetsbulletin från Debian

DSA-3362-1 qemu-kvm -- säkerhetsuppdatering

Rapporterat den:

2015-09-18

Berörda paket:

qemu-kvm

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-5278, CVE-2015-5279, CVE-2015-6815, CVE-2015-6855.

Ytterligare information:

Flera sårbarheter har upptäckts i qemu-kvm, en komplett virtualiseringslösning för x86-hårdvara.

• CVE-2015-5278

  Qinghao Tang från QIHU 360 Inc. upptäckte ett problem med en oändlig loop i NE2000 NIC-emuleringen. En priviligierad gäst kunde använda denna brist för att skapa en överbelastning (krasch av QEMU-processen).

• CVE-2015-5279

  Qinghao Tang från QIHU 360 Inc. upptäckte ett heapbuffertspill i emuleringen av NE2000 NIC. En priviligierad gästanvändare kunde använda denna brist för att montera en överbelastning (krasch av QEMU-processen), eller potentiellt körning av godtycklig kod på värden med samma rättigheter som värdens QEMU-process.

• CVE-2015-6815

  Qinghao Tang från QIHU 360 Inc. upptäckte en brist med en oändlig loop i emuleringen av e1000 NIC. En priviligierad användare kunde använda denna brist för att montera en överbelastning (krasch av QEMU-processen).

• CVE-2015-6855

  Qinghao Tang från QIHU 360 Inc. upptäckte en brist i IDE-undersystemet i QEMU som uppstår när man kör IDE's WIN_READ_NATIVE_MAX-kommando för att avgöra största storleken på en enhet. En priviligierad gästanvändare kunde använda denna brist för att montera en överbelastning (krasch av QEMU-processen).

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.1.2+dfsg-6+deb7u11.

Vi rekommenderar att ni uppgraderar era qemu-kvm-paket.