Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3470-1 qemu-kvm

Säkerhetsbulletin från Debian

DSA-3470-1 qemu-kvm -- säkerhetsuppdatering

Rapporterat den:

2016-02-08

Berörda paket:

qemu-kvm

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 799452, Fel 806373, Fel 806741, Fel 806742, Fel 808130, Fel 808144, Fel 810519, Fel 810527, Fel 811201.
I Mitres CVE-förteckning: CVE-2015-7295, CVE-2015-7504, CVE-2015-7512, CVE-2015-8345, CVE-2015-8504, CVE-2015-8558, CVE-2015-8743, CVE-2016-1568, CVE-2016-1714, CVE-2016-1922, CVE-2016-1981.

Ytterligare information:

Flera sårbarheter har upptäckts i qemu-kvm, en komplett virtualiseringslösning för x86-hårdvara.

• CVE-2015-7295

  Jason Wang från Red Hat Inc. upptäckte att stödet för Virtual Network Device är sårbart för överbelastning (via resursförbrukning), vilket kunde ske vid mottagning av stora paket.

• CVE-2015-7504

  Qinghao Tang från Qihoo 360 Inc. och Ling Liu från Qihoo 360 Inc. upptäckte att ehternetkontrollern PC-Net II är sårbar för ett heap-baserat buffertspill som kunde resultera i överbelastning (via applikationskrasch) eller körning av godtycklig kod.

• CVE-2015-7512

  Ling Liu från Qihoo 360 Inc. och Jason Wang från Red Hat Inc. upptäckte att ethernetkontrollern PC-Net II är sårbar för ett buffertspill vilket kunde resultera i överbelastning (via applikationskrasch) eller körning av godtycklig kod.

• CVE-2015-8345

  Qinghao Tang från Qihoo 360 Inc. upptäckte att eepro100-emulatorn innehåller en brist som kunde leda till en oändlig loop vid behandling av Command Blocks, vilket eventuellt kunde leda till överbelastning (via applikationskrasch).

• CVE-2015-8504

  Lian Yihan från Qihoo 360 Inc. upptäckte att VNC-drivrutinsstödet är sårbart för ett aritmetiskt undantagsbrist som kan lead till överbelastning (via applikationskrasch).

• CVE-2015-8558

  Qinghao Tang från Qihoo 360 Inc. upptäckte att USB EHCI-emuleringsstödet innehåler en brist som kunde leda till en oändlig loop under kommunikation mellan värdkontrollen och en enhetsdrivrutin. Detta kunde leda till överbelastning (via resursförbrukning).

• CVE-2015-8743

  Ling Liu från Qihoo 360 Inc. upptäckte att NE2000-emulatorn är sårbar för ett problem med läsnings-/skrivningsåtkomst utanför gränserna, vilket potentiellt leder till informationsläckage eller minneskorruption.

• CVE-2016-1568

  Qinghao Tang från Qihoo 360 Inc. upptäckte att IDE AHCI-emuleringsstödet är sårbart för ett användning-efter-frigörningsproblem som kan leda till överbelastning (via applikationskrasch) eller körning av godtycklig kod.

• CVE-2016-1714

  Donghai Zhy från Alibaba upptäckte att stödet för Firmware Configuration-emuleringen är sårbart för en problem med läsnings-/skrivningsåtkomst utanför gränserna, som kunde leda till överbelastning (via applikationskrasch) eller körning av godtycklig kod.

• CVE-2016-1922

  Ling Liu från Qihoo 360 Inc. upptäckte att stöd för 32-bitars Windowsgäster är sårbart för ett problem med nullpekardereferens, vilket kunde leda till överbelastning (via applikationskrasch).

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.1.2+dfsg-6+deb7u12.

Vi rekommenderar att ni uppgraderar era qemu-kvm-paket.