Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2542-1 qemu-kvm

Bulletin d'alerte Debian

DSA-2542-1 qemu-kvm -- Plusieurs vulnérabilités

Date du rapport :

8 septembre 2012

Paquets concernés :

qemu-kvm

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-2652, CVE-2012-3515.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans KVM, un système de virtualisation complet pour matériel x86. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2012-2652:

  Le mode instantané (« snapshot ») de QEMU (-snapshot) ne traite pas correctement les fichiers temporaires utilisés pour garder les états en cours, le rendant vulnérable aux attaques de lien symbolique (y compris l'écrasement de fichier arbitraire et la divulgation d'informations du client) à cause d'une situation de compétition.

• CVE-2012-3515:

  QEMU ne traite pas correctement les suites d'échappement VT100 lors de l'émulation de certains périphériques avec un moteur de console virtuelle. Un attaquant dans un client ayant accès à la console virtuelle vulnérable pourrait écraser la mémoire de QEMU et augmenter ses droits à ceux du processus qemu.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.12.5+dfsg-5+squeeze9.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets qemu-kvm.