Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2543-1 xen-qemu-dm-4.0

Debians sikkerhedsbulletin

DSA-2543-1 xen-qemu-dm-4.0 -- flere sårbarheder

Rapporteret den:

8. sep 2012

Berørte pakker:

xen-qemu-dm-4.0

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-3515, CVE-2012-4411.

Yderligere oplysninger:

Flere sårbarheder er opdaget i xen-qemu-dm-4.0, Xen QEMU Device Models virtuelle maskine som emulerer hardware. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2012-3515:

  Enhedsmodellen for HVM-domæner håndterede ikke på korrekt vis VT100-escapesekvenser, når der blev emuleret visse enheder med en virtuel konsol-backend. En angriber inden for en gæst med adgang til den sårbare virtuelle konsol kunne overskrive hukommelse hørende til enhedsmodellen og forøge rettigheder til dem hørende til enhedsmodellens proces.

• CVE-2012-4411:

  QEMU-monitoren var som standard aktiveret, hvilket gjorde det muligt for administratorer af en gæst, at tilgå ressourcer på værten, hvormed der muligvis kunne forøges rettigheder eller tilgås ressourcer, som hører til en anden gæst.

I den stabile distribution (squeeze), er disse problemer rettet i version 4.0.1-2+squeeze2.

Distributionen testing (wheezy) og den ustabile distribution (sid), indeholder ikke længere denne pakke.

Vi anbefaler at du opgraderer dine xen-qemu-dm-4.0-pakker.