Säkerhetsbulletin från Debian
DSA-4213-1 qemu -- säkerhetsuppdatering
- Rapporterat den:
- 2018-05-29
- Berörda paket:
- qemu
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 877890, Fel 880832, Fel 880836, Fel 882136, Fel 883399, Fel 883625, Fel 884806, Fel 886532.
I Mitres CVE-förteckning: CVE-2017-5715, CVE-2017-15038, CVE-2017-15119, CVE-2017-15124, CVE-2017-15268, CVE-2017-15289, CVE-2017-16845, CVE-2017-17381, CVE-2017-18043, CVE-2018-5683, CVE-2018-7550. - Ytterligare information:
-
Flera sårbarheter har upptäckts i qemu, en snabb processoremulator.
- CVE-2017-15038
Tuomas Tynkkynen upptäckte ett informationsläckage i 9pfs.
- CVE-2017-15119
Eric Blake upptäckjte att NBD-servern begränsar stora alternativförfrågningar otillräckligt, vilket leder till överbelastning.
- CVE-2017-15124
Daniel Berrange upptäckte att den integrerade VNC-servern inte begränsar minnesallokering tillräckligt, vilket kunde resultera i överbelastning.
- CVE-2017-15268
Ett minnesläckage i websocketsstöd kan resultera i överbelastning.
- CVE-2017-15289
Guoxiang Niu upptäckte en OOB-skrivning i den emulerade grafikkretsen Cirrus vilket kunde resultera i överbelastning.
- CVE-2017-16845
Cyrille Chatras upptäckte ett informationsläckage i PS/2 mus- och tangentbordsemulering vilket kunde exploateras under instansmigration.
- CVE-2017-17381
Dengzhan Heyuandong Bijunhua och Liweichao upptcäkte att ett implementationsfel i virtio vring-implementationen kunde resultera i överbelastning.
- CVE-2017-18043
Eric Blake upptäckte ett heltalsspill i ett internt använt macro som kunde leda till överbelastning.
- CVE-2018-5683
Jiang Xin och Lin ZheCheng upptäckte en OOB-minnesåtkomst i den emulerade VGA-adaptern som kunde resultera i överbelastning.
- CVE-2018-7550
Cyrille Chatras upptäckte en OOB-minnesskrivning vid anvädning av multiboot kunde resultera i exekvering av godtycklig kod.
Denna uppdatering bakåtanpassar även ett antal lindringar mot Spectre v2-sårbarheten som påverkar moderna CPUer (CVE-2017-5715). För ytterligare en information, vänligen se https://www.qemu.org/2018/01/04/spectre/
För den stabila utgåvan (Stretch) har dessa problem rättats i version 1:2.8+dfsg-6+deb9u4.
Vi rekommenderar att ni uppgraderar era qemu-paket.
För detaljerad säkerhetsstatus om qemu vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/qemu
- CVE-2017-15038