セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2543-1 xen-qemu-dm-4.0

Debian セキュリティ勧告

DSA-2543-1 xen-qemu-dm-4.0 -- 複数の脆弱性

報告日時:

2012-09-08

影響を受けるパッケージ:

xen-qemu-dm-4.0

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-3515, CVE-2012-4411.

詳細:

Xen QEMU デバイスモデル仮想計算機ハードウェアエミュレーター xen-qemu-dm-4.0 に複数の脆弱性が見つかりました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

• CVE-2012-3515:

  HVM ドメイン用のデバイスモデルは、 仮想端末の後方処理とともにある種のデバイスをエミュレートする際に VT100 エスケープシーケンスを正しく扱っていません。 ゲスト環境下で脆弱な仮想端末にアクセスできる攻撃者は、 デバイスモデルのメモリを上書きして、 権限をデバイスモデルプロセスの権限にまで昇格できるかもしれません。

• CVE-2012-4411:

  QEMU モニターがデフォルトで有効になっていたので、 ゲストの管理者がホストの資源にアクセスする、またおそらくは権限を昇格する、 別のゲストに属する資源にアクセスする、ということを許していました。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバージョン 4.0.1-2+squeeze2 で修正されています。

テスト版 (wheezy) および不安定版 (sid) ディストリビューションには、このパッケージはもはや含まれていません。

直ぐに xen-qemu-dm-4.0 パッケージをアップグレードすることを勧めます。