Информация по безопасности / 2012 / Информация о безопасности -- DSA-2543-1 xen-qemu-dm-4.0

Рекомендация Debian по безопасности

DSA-2543-1 xen-qemu-dm-4.0 -- многочисленные уязвимости

Дата сообщения:

08.09.2012

Затронутые пакеты:

xen-qemu-dm-4.0

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-3515, CVE-2012-4411.

Более подробная информация:

В xen-qemu-dm-4.0, виртуальной машине и эмуляторе оборудования Xen QEMU Device Model, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2012-3515:

  Модель устройств для доменов HVM неправильно обрабатывает экранирующие последовательности VT100 при эмуляции определённых устройств с движком виртуальной консоли. Злоумышленник в гостевой системе, имеющий доступ к уязвимой виртуальной консоли, может перезаписать содержимое памяти QEMU и повысить свои привилегии до уровня процесса модели устройств.

• CVE-2012-4411:

  Монитор QEMU включен по умолчанию, что позволяет администраторам гостевой системы получать доступ к ресурсам основной системы, потенциально повышать привилегии или получать доступ к ресурсам, относящимся другой гостевой системе.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 4.0.1-2+squeeze2.

В тестируемом (wheezy) и нестабильном (sid) выпуске этот пакет отсутствует.

Рекомендуется обновить пакеты xen-qemu-dm-4.0.