Bulletin d'alerte Debian
DSA-4213-1 qemu -- Mise à jour de sécurité
- Date du rapport :
- 29 mai 2018
- Paquets concernés :
- qemu
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 877890, Bogue 880832, Bogue 880836, Bogue 882136, Bogue 883399, Bogue 883625, Bogue 884806, Bogue 886532.
Dans le dictionnaire CVE du Mitre : CVE-2017-5715, CVE-2017-15038, CVE-2017-15119, CVE-2017-15124, CVE-2017-15268, CVE-2017-15289, CVE-2017-16845, CVE-2017-17381, CVE-2017-18043, CVE-2018-5683, CVE-2018-7550. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur rapide de processeur.
- CVE-2017-15038
Tuomas Tynkkynen a découvert une fuite d'informations dans 9pfs.
- CVE-2017-15119
Eric Blake a découvert que le serveur NBD ne restreint pas suffisamment les requêtes de longues options, avec pour conséquence un déni de service.
- CVE-2017-15124
Daniel Berrange a découvert que le serveur VNC intégré ne restreignait pas suffisamment l'allocation de mémoire, ce qui pourrait avoir pour conséquence un déni de service.
- CVE-2017-15268
Une fuite de mémoire dans la prise en charge des WebSockets peut avoir pour conséquence un déni de service.
- CVE-2017-15289
Guoxiang Niu a découvert une lecture hors limites dans l'émulation de l'adaptateur graphique Cirrus qui pourrait avoir pour conséquence un déni de service.
- CVE-2017-16845
Cyrille Chatras a découvert une fuite d'informations dans l'émulation de souris PS/2 et de clavier qui pourrait être exploitée lors de la migration d'une instance.
- CVE-2017-17381
Dengzhan Heyuandong Bijunhua et Liweichao ont découvert qu'une erreur d'implémentation dans l'implémentation de Virtio Vring pourrait avoir pour conséquence un déni de service.
- CVE-2017-18043
Eric Blake a découvert un dépassement d'entier dans une macro utilisée en interne qui pourrait avoir pour conséquence un déni de service.
- CVE-2018-5683
Jiang Xin et Lin ZheCheng ont découvert un accès en mémoire hors limites dans l'émulation de l'adaptateur VGA qui pourrait avoir pour conséquence un déni de service.
- CVE-2018-7550
Cyrille Chatras a découvert qu'une écriture en mémoire hors limites lors de l'utilisation de multiboot pourrait avoir pour conséquence l'exécution de code arbitraire.
Cette mise à jour effectue également le rétroportage d'un certain nombre des atténuations de la vulnérabilité de la variante v2 de Spectre qui affecte les processeurs modernes (CVE-2017-5715). Pour davantage d'informations, veuillez vous référer à https://www.qemu.org/2018/01/04/spectre/
Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1:2.8+dfsg-6+deb9u4.
Nous vous recommandons de mettre à jour vos paquets qemu.
Pour disposer d'un état détaillé sur la sécurité de qemu, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/qemu.
- CVE-2017-15038