Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4213-1 qemu

Säkerhetsbulletin från Debian

DSA-4213-1 qemu -- säkerhetsuppdatering

Rapporterat den:

2018-05-29

Berörda paket:

qemu

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 877890, Fel 880832, Fel 880836, Fel 882136, Fel 883399, Fel 883625, Fel 884806, Fel 886532.
I Mitres CVE-förteckning: CVE-2017-5715, CVE-2017-15038, CVE-2017-15119, CVE-2017-15124, CVE-2017-15268, CVE-2017-15289, CVE-2017-16845, CVE-2017-17381, CVE-2017-18043, CVE-2018-5683, CVE-2018-7550.

Ytterligare information:

Flera sårbarheter har upptäckts i qemu, en snabb processoremulator.

• CVE-2017-15038

  Tuomas Tynkkynen upptäckte ett informationsläckage i 9pfs.

• CVE-2017-15119

  Eric Blake upptäckjte att NBD-servern begränsar stora alternativförfrågningar otillräckligt, vilket leder till överbelastning.

• CVE-2017-15124

  Daniel Berrange upptäckte att den integrerade VNC-servern inte begränsar minnesallokering tillräckligt, vilket kunde resultera i överbelastning.

• CVE-2017-15268

  Ett minnesläckage i websocketsstöd kan resultera i överbelastning.

• CVE-2017-15289

  Guoxiang Niu upptäckte en OOB-skrivning i den emulerade grafikkretsen Cirrus vilket kunde resultera i överbelastning.

• CVE-2017-16845

  Cyrille Chatras upptäckte ett informationsläckage i PS/2 mus- och tangentbordsemulering vilket kunde exploateras under instansmigration.

• CVE-2017-17381

  Dengzhan Heyuandong Bijunhua och Liweichao upptcäkte att ett implementationsfel i virtio vring-implementationen kunde resultera i överbelastning.

• CVE-2017-18043

  Eric Blake upptäckte ett heltalsspill i ett internt använt macro som kunde leda till överbelastning.

• CVE-2018-5683

  Jiang Xin och Lin ZheCheng upptäckte en OOB-minnesåtkomst i den emulerade VGA-adaptern som kunde resultera i överbelastning.

• CVE-2018-7550

  Cyrille Chatras upptäckte en OOB-minnesskrivning vid anvädning av multiboot kunde resultera i exekvering av godtycklig kod.

Denna uppdatering bakåtanpassar även ett antal lindringar mot Spectre v2-sårbarheten som påverkar moderna CPUer (CVE-2017-5715). För ytterligare en information, vänligen se https://www.qemu.org/2018/01/04/spectre/

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1:2.8+dfsg-6+deb9u4.

Vi rekommenderar att ni uppgraderar era qemu-paket.

För detaljerad säkerhetsstatus om qemu vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/qemu