Säkerhetsbulletin från Debian

DSA-4213-1 qemu -- säkerhetsuppdatering

Rapporterat den:
2018-05-29
Berörda paket:
qemu
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 877890, Fel 880832, Fel 880836, Fel 882136, Fel 883399, Fel 883625, Fel 884806, Fel 886532.
I Mitres CVE-förteckning: CVE-2017-5715, CVE-2017-15038, CVE-2017-15119, CVE-2017-15124, CVE-2017-15268, CVE-2017-15289, CVE-2017-16845, CVE-2017-17381, CVE-2017-18043, CVE-2018-5683, CVE-2018-7550.
Ytterligare information:

Flera sårbarheter har upptäckts i qemu, en snabb processoremulator.

  • CVE-2017-15038

    Tuomas Tynkkynen upptäckte ett informationsläckage i 9pfs.

  • CVE-2017-15119

    Eric Blake upptäckjte att NBD-servern begränsar stora alternativförfrågningar otillräckligt, vilket leder till överbelastning.

  • CVE-2017-15124

    Daniel Berrange upptäckte att den integrerade VNC-servern inte begränsar minnesallokering tillräckligt, vilket kunde resultera i överbelastning.

  • CVE-2017-15268

    Ett minnesläckage i websocketsstöd kan resultera i överbelastning.

  • CVE-2017-15289

    Guoxiang Niu upptäckte en OOB-skrivning i den emulerade grafikkretsen Cirrus vilket kunde resultera i överbelastning.

  • CVE-2017-16845

    Cyrille Chatras upptäckte ett informationsläckage i PS/2 mus- och tangentbordsemulering vilket kunde exploateras under instansmigration.

  • CVE-2017-17381

    Dengzhan Heyuandong Bijunhua och Liweichao upptcäkte att ett implementationsfel i virtio vring-implementationen kunde resultera i överbelastning.

  • CVE-2017-18043

    Eric Blake upptäckte ett heltalsspill i ett internt använt macro som kunde leda till överbelastning.

  • CVE-2018-5683

    Jiang Xin och Lin ZheCheng upptäckte en OOB-minnesåtkomst i den emulerade VGA-adaptern som kunde resultera i överbelastning.

  • CVE-2018-7550

    Cyrille Chatras upptäckte en OOB-minnesskrivning vid anvädning av multiboot kunde resultera i exekvering av godtycklig kod.

Denna uppdatering bakåtanpassar även ett antal lindringar mot Spectre v2-sårbarheten som påverkar moderna CPUer (CVE-2017-5715). För ytterligare en information, vänligen se https://www.qemu.org/2018/01/04/spectre/

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1:2.8+dfsg-6+deb9u4.

Vi rekommenderar att ni uppgraderar era qemu-paket.

För detaljerad säkerhetsstatus om qemu vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/qemu