Рекомендация Debian по безопасности
DSA-3469-1 qemu -- обновление безопасности
- Дата сообщения:
- 08.02.2016
- Затронутые пакеты:
- qemu
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 799452, Ошибка 806373, Ошибка 806741, Ошибка 806742, Ошибка 808130, Ошибка 808144, Ошибка 810519, Ошибка 810527, Ошибка 811201, Ошибка 812307.
В каталоге Mitre CVE: CVE-2015-7295, CVE-2015-7504, CVE-2015-7512, CVE-2015-8345, CVE-2015-8504, CVE-2015-8558, CVE-2015-8743, CVE-2016-1568, CVE-2016-1714, CVE-2016-1922, CVE-2016-1981. - Более подробная информация:
-
В qemu, полном решении для виртуализации на оборудовании с архитектурой x86, было обнаружено несколько уязвимостей.
- CVE-2015-7295
Джейсон Ванг из Red Hat Inc. обнаружил, что поддержка Virtual Network Device уязвима к отказу в обслуживании (из-за чрезмерного потребления ресурсов), который может произойти при получении больших пакетов.
- CVE-2015-7504
Цинхао Тан из Qihoo 360 Inc. и Лин Лю из Qihoo 360 Inc. обнаружили, что контроллер PC-Net II уязвим к переполнению динамической памяти, которое приводит к отказу в обслуживании (из-за аварийного завершения работы приложений) или выполнению произвольного кода.
- CVE-2015-7512
Лин Лю из Qihoo 360 Inc. и Джейсон Ванг из Red Hat Inc. обнаружили, что контроллер PC-Net II уязвим к переполнению буфера, которое может приводить к отказу в обслуживании (из-за аварийного завершения работы приложения) или выполнению произвольного кода.
- CVE-2015-8345
Цинхао Тан из Qihoo 360 Inc. обнаружил, что эмулятор eepro100 содержит ошибку, которая может приводить к возникновению бесконечного цикла при обработке командных блоков и вызывать отказ в обслуживании (из-за аварийного завершения работы приложения).
- CVE-2015-8504
Лянь Ихань из Qihoo 360 Inc. обнаружил, что поддержка дисплейного драйвера VNC уязвима к арифметическому исключению, которое может приводить к отказу в обслуживании (из-за аварийного завершения работы приложения).
- CVE-2015-8558
Цинхао Тан из Qihoo 360 Inc. обнаружил, что поддержка эмуляции USB EHCI содержит ошибку, которая может приводить к возникновению бесконечного цикла при взаимодействии между контроллером узла и драйвером устройства. Эта уязвимость может приводить к отказу в обслуживании (из-за чрезмерного потребления ресурсов).
- CVE-2015-8743
Лин Лю из Qihoo 360 Inc. обнаружил, что эмулятор NE2000 содержит проблему с чтением/записью за пределами выделенного буфера памяти, что потенциально приводит к утечкам информации или повреждению содержимого памяти.
- CVE-2016-1568
Цинхао Тан из Qihoo 360 Inc. обнаружил, что поддержка эмуляции IDE AHCI содержит проблему, состоящую в использовании указателей после освобождения памяти, которая может приводить к отказу в обслуживании (из-за аварийного завершения работы приложения) или выполнению произвольного кода.
- CVE-2016-1714
Дунхай Чжу из Alibaba обнаружил, что поддержка эмуляции Firmware Configuration содержит проблему, состоящую в чтении/записи за пределами выделенного буфера памяти, которая может приводить к отказу в обслуживании (из-за аварийного завершения работы приложения) или выполнению произвольного кода.
- CVE-2016-1922
Лин Лю из Qihoo 360 Inc. обнаружил, что поддержка 32-битных гостевых систем Windows содержит проблему, состоящую в разыменовании null-указателя, которая может приводить к отказу в обслуживании (из-за аварийного завершения работы приложения).
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.1.2+dfsg-6a+deb7u12.
Рекомендуется обновить пакеты qemu.
- CVE-2015-7295