Debians sikkerhedsbulletin
DSA-4213-1 qemu -- sikkerhedsopdatering
- Rapporteret den:
- 29. maj 2018
- Berørte pakker:
- qemu
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 877890, Fejl 880832, Fejl 880836, Fejl 882136, Fejl 883399, Fejl 883625, Fejl 884806, Fejl 886532.
I Mitres CVE-ordbog: CVE-2017-5715, CVE-2017-15038, CVE-2017-15119, CVE-2017-15124, CVE-2017-15268, CVE-2017-15289, CVE-2017-16845, CVE-2017-17381, CVE-2017-18043, CVE-2018-5683, CVE-2018-7550. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i qemu, en hurtig processoremulator.
- CVE-2017-15038
Tuomas Tynkkynen opdagede en informationslækage i 9pfs.
- CVE-2017-15119
Eric Blake opdagede at NBD-serveren på utilstrækkelig vis, begrænsede store optionforespørgsler, medførende lammelsesangreb.
- CVE-2017-15124
Daniel Berrange opdagede at den integrerede VNC-server på utilstrækkelig vis begrænsede hukommelsesallokering, hvilket kunne medføre lammelsesangreb.
- CVE-2017-15268
En hukommelseslækage i websocketsunderstøttelsen, kunne medføre lammelsesangreb.
- CVE-2017-15289
Guoxiang Niu opdagede en OOB-skrivning i det emulerede Cirrus-grafikkort, som kunne medføre lammelsesangreb.
- CVE-2017-16845
Cyrille Chatras opdagede en informationslækage i emuleringen af PS/2-mus og -tastaturer, hvilket kunne udnyttes under instansmigrering.
- CVE-2017-17381
Dengzhan Heyuandong Bijunhua og Liweichao opdagede at en implementeringsfejl i virtio vring-implementeringen, kunne medføre lammelsesangreb.
- CVE-2017-18043
Eric Blake opdagede et heltalsoverløb i en internt anvendt makro, hvilket kunne medføre lammelsesangreb.
- CVE-2018-5683
Jiang Xin og Lin ZheCheng opdagede en OOB-hukommelsestilgang i det emulerede VGA-grafikkort, hvilket kunne medføre lammelsesangreb.
- CVE-2018-7550
Cyrille Chatras opdagede at en OOB-hukommelsesskrivning, når der anvendes multiboot, kunne medføre udførelse af vilkårlig kode.
Denne opdatering tilbagefører en række afhjælpninger mod Spectre v2-sårbarheden, som påvirker moderne CPU'er (CVE-2017-5715). For yderligere oplysinger, se: https://www.qemu.org/2018/01/04/spectre/
I den stabile distribution (stretch), er disse problemer rettet i version 1:2.8+dfsg-6+deb9u4.
Vi anbefaler at du opgraderer dine qemu-pakker.
For detaljeret sikkerhedsstatus vedrørende qemu, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/qemu
- CVE-2017-15038