Debians sikkerhedsbulletin

DSA-4213-1 qemu -- sikkerhedsopdatering

Rapporteret den:

29. maj 2018

Berørte pakker:

Sårbar:

Referencer i sikkerhedsdatabaser:

Yderligere oplysninger:

Flere sårbarheder blev opdaget i qemu, en hurtig processoremulator.

CVE-2017-15038
Tuomas Tynkkynen opdagede en informationslækage i 9pfs.
CVE-2017-15119
Eric Blake opdagede at NBD-serveren på utilstrækkelig vis, begrænsede store optionforespørgsler, medførende lammelsesangreb.
CVE-2017-15124
Daniel Berrange opdagede at den integrerede VNC-server på utilstrækkelig vis begrænsede hukommelsesallokering, hvilket kunne medføre lammelsesangreb.
CVE-2017-15268
En hukommelseslækage i websocketsunderstøttelsen, kunne medføre lammelsesangreb.
CVE-2017-15289
Guoxiang Niu opdagede en OOB-skrivning i det emulerede Cirrus-grafikkort, som kunne medføre lammelsesangreb.
CVE-2017-16845
Cyrille Chatras opdagede en informationslækage i emuleringen af PS/2-mus og -tastaturer, hvilket kunne udnyttes under instansmigrering.
CVE-2017-17381
Dengzhan Heyuandong Bijunhua og Liweichao opdagede at en implementeringsfejl i virtio vring-implementeringen, kunne medføre lammelsesangreb.
CVE-2017-18043
Eric Blake opdagede et heltalsoverløb i en internt anvendt makro, hvilket kunne medføre lammelsesangreb.
CVE-2018-5683
Jiang Xin og Lin ZheCheng opdagede en OOB-hukommelsestilgang i det emulerede VGA-grafikkort, hvilket kunne medføre lammelsesangreb.
CVE-2018-7550
Cyrille Chatras opdagede at en OOB-hukommelsesskrivning, når der anvendes multiboot, kunne medføre udførelse af vilkårlig kode.

Denne opdatering tilbagefører en række afhjælpninger mod Spectre v2-sårbarheden, som påvirker moderne CPU'er (CVE-2017-5715). For yderligere oplysinger, se: https://www.qemu.org/2018/01/04/spectre/

I den stabile distribution (stretch), er disse problemer rettet i version 1:2.8+dfsg-6+deb9u4.

Vi anbefaler at du opgraderer dine qemu-pakker.

For detaljeret sikkerhedsstatus vedrørende qemu, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/qemu