Säkerhetsbulletin från Debian
DSA-3470-1 qemu-kvm -- säkerhetsuppdatering
- Rapporterat den:
- 2016-02-08
- Berörda paket:
- qemu-kvm
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 799452, Fel 806373, Fel 806741, Fel 806742, Fel 808130, Fel 808144, Fel 810519, Fel 810527, Fel 811201.
I Mitres CVE-förteckning: CVE-2015-7295, CVE-2015-7504, CVE-2015-7512, CVE-2015-8345, CVE-2015-8504, CVE-2015-8558, CVE-2015-8743, CVE-2016-1568, CVE-2016-1714, CVE-2016-1922, CVE-2016-1981. - Ytterligare information:
-
Flera sårbarheter har upptäckts i qemu-kvm, en komplett virtualiseringslösning för x86-hårdvara.
- CVE-2015-7295
Jason Wang från Red Hat Inc. upptäckte att stödet för Virtual Network Device är sårbart för överbelastning (via resursförbrukning), vilket kunde ske vid mottagning av stora paket.
- CVE-2015-7504
Qinghao Tang från Qihoo 360 Inc. och Ling Liu från Qihoo 360 Inc. upptäckte att ehternetkontrollern PC-Net II är sårbar för ett heap-baserat buffertspill som kunde resultera i överbelastning (via applikationskrasch) eller körning av godtycklig kod.
- CVE-2015-7512
Ling Liu från Qihoo 360 Inc. och Jason Wang från Red Hat Inc. upptäckte att ethernetkontrollern PC-Net II är sårbar för ett buffertspill vilket kunde resultera i överbelastning (via applikationskrasch) eller körning av godtycklig kod.
- CVE-2015-8345
Qinghao Tang från Qihoo 360 Inc. upptäckte att eepro100-emulatorn innehåller en brist som kunde leda till en oändlig loop vid behandling av Command Blocks, vilket eventuellt kunde leda till överbelastning (via applikationskrasch).
- CVE-2015-8504
Lian Yihan från Qihoo 360 Inc. upptäckte att VNC-drivrutinsstödet är sårbart för ett aritmetiskt undantagsbrist som kan lead till överbelastning (via applikationskrasch).
- CVE-2015-8558
Qinghao Tang från Qihoo 360 Inc. upptäckte att USB EHCI-emuleringsstödet innehåler en brist som kunde leda till en oändlig loop under kommunikation mellan värdkontrollen och en enhetsdrivrutin. Detta kunde leda till överbelastning (via resursförbrukning).
- CVE-2015-8743
Ling Liu från Qihoo 360 Inc. upptäckte att NE2000-emulatorn är sårbar för ett problem med läsnings-/skrivningsåtkomst utanför gränserna, vilket potentiellt leder till informationsläckage eller minneskorruption.
- CVE-2016-1568
Qinghao Tang från Qihoo 360 Inc. upptäckte att IDE AHCI-emuleringsstödet är sårbart för ett användning-efter-frigörningsproblem som kan leda till överbelastning (via applikationskrasch) eller körning av godtycklig kod.
- CVE-2016-1714
Donghai Zhy från Alibaba upptäckte att stödet för Firmware Configuration-emuleringen är sårbart för en problem med läsnings-/skrivningsåtkomst utanför gränserna, som kunde leda till överbelastning (via applikationskrasch) eller körning av godtycklig kod.
- CVE-2016-1922
Ling Liu från Qihoo 360 Inc. upptäckte att stöd för 32-bitars Windowsgäster är sårbart för ett problem med nullpekardereferens, vilket kunde leda till överbelastning (via applikationskrasch).
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.1.2+dfsg-6+deb7u12.
Vi rekommenderar att ni uppgraderar era qemu-kvm-paket.
- CVE-2015-7295