Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2543-1 xen-qemu-dm-4.0

Bulletin d'alerte Debian

DSA-2543-1 xen-qemu-dm-4.0 -- Plusieurs vulnérabilités

Date du rapport :

8 septembre 2012

Paquets concernés :

xen-qemu-dm-4.0

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-3515, CVE-2012-4411.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans xen-qemu-dm-4.0, la version Xen de l'émulateur QEMU. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2012-3515:

  Le modèle de périphérique pour les domaines HVM ne traite pas correctement les suites d'échappement VT100 lors de l'émulation de certains périphériques avec un moteur de console virtuelle. Un attaquant dans un client ayant accès à la console virtuelle vulnérable pourrait écraser la mémoire de QEMU et augmenter ses droits à ceux du processus de modèle de périphérique.

• CVE-2012-4411:

  Le moniteur QEMU a été activé par défaut, permettant aux administrateurs d'un client d'accéder aux ressources de l'hôte, d'augmenter éventuellement leurs droits ou d'accéder aux ressources appartenant à un autre client.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.0.1-2+squeeze2.

La distribution testing (Wheezy) et la distribution unstable (Sid) ne contiennent pas ce paquet.

Nous vous recommandons de mettre à jour vos paquets xen-qemu-dm-4.0.