Debians sikkerhedsbulletin

DSA-4213-1 qemu -- sikkerhedsopdatering

Rapporteret den:
29. maj 2018
Berørte pakker:
qemu
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 877890, Fejl 880832, Fejl 880836, Fejl 882136, Fejl 883399, Fejl 883625, Fejl 884806, Fejl 886532.
I Mitres CVE-ordbog: CVE-2017-5715, CVE-2017-15038, CVE-2017-15119, CVE-2017-15124, CVE-2017-15268, CVE-2017-15289, CVE-2017-16845, CVE-2017-17381, CVE-2017-18043, CVE-2018-5683, CVE-2018-7550.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i qemu, en hurtig processoremulator.

  • CVE-2017-15038

    Tuomas Tynkkynen opdagede en informationslækage i 9pfs.

  • CVE-2017-15119

    Eric Blake opdagede at NBD-serveren på utilstrækkelig vis, begrænsede store optionforespørgsler, medførende lammelsesangreb.

  • CVE-2017-15124

    Daniel Berrange opdagede at den integrerede VNC-server på utilstrækkelig vis begrænsede hukommelsesallokering, hvilket kunne medføre lammelsesangreb.

  • CVE-2017-15268

    En hukommelseslækage i websocketsunderstøttelsen, kunne medføre lammelsesangreb.

  • CVE-2017-15289

    Guoxiang Niu opdagede en OOB-skrivning i det emulerede Cirrus-grafikkort, som kunne medføre lammelsesangreb.

  • CVE-2017-16845

    Cyrille Chatras opdagede en informationslækage i emuleringen af PS/2-mus og -tastaturer, hvilket kunne udnyttes under instansmigrering.

  • CVE-2017-17381

    Dengzhan Heyuandong Bijunhua og Liweichao opdagede at en implementeringsfejl i virtio vring-implementeringen, kunne medføre lammelsesangreb.

  • CVE-2017-18043

    Eric Blake opdagede et heltalsoverløb i en internt anvendt makro, hvilket kunne medføre lammelsesangreb.

  • CVE-2018-5683

    Jiang Xin og Lin ZheCheng opdagede en OOB-hukommelsestilgang i det emulerede VGA-grafikkort, hvilket kunne medføre lammelsesangreb.

  • CVE-2018-7550

    Cyrille Chatras opdagede at en OOB-hukommelsesskrivning, når der anvendes multiboot, kunne medføre udførelse af vilkårlig kode.

Denne opdatering tilbagefører en række afhjælpninger mod Spectre v2-sårbarheden, som påvirker moderne CPU'er (CVE-2017-5715). For yderligere oplysinger, se: https://www.qemu.org/2018/01/04/spectre/

I den stabile distribution (stretch), er disse problemer rettet i version 1:2.8+dfsg-6+deb9u4.

Vi anbefaler at du opgraderer dine qemu-pakker.

For detaljeret sikkerhedsstatus vedrørende qemu, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/qemu