Информация по безопасности / 2012 / Информация о безопасности -- DSA-2542-1 qemu-kvm

Рекомендация Debian по безопасности

DSA-2542-1 qemu-kvm -- многочисленные уязвимости

Дата сообщения:

08.09.2012

Затронутые пакеты:

qemu-kvm

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-2652, CVE-2012-3515.

Более подробная информация:

В KVM, полном решении виртуализации на оборудовании с архитектурой x86, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2012-2652:

  Режим срезов QEMU (-snapshot) неправильно обрабатывает временные файлы, используемые для хранения текущего состояния, что делает его уязвимым к атакам через символьные ссылки (включая перезапись произвольных файлов и раскрытие информации гостевой системы) из-за состояния гонки.

• CVE-2012-3515:

  QEMU неправильно обрабатывает экранирующие последовательности VT100 при эмуляции определённых устройств с движком виртуальной консоли. Злоумышленник в гостевой системе, имеющий доступ к уязвимой виртуальной консоли, может перезаписать содержимое памяти QEMU и повысить свои привилегии до уровня процесса qemu.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.12.5+dfsg-5+squeeze9.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты qemu-kvm.