Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2543-1 xen-qemu-dm-4.0

Säkerhetsbulletin från Debian

DSA-2543-1 xen-qemu-dm-4.0 -- flera sårbarheter

Rapporterat den:

2012-09-08

Berörda paket:

xen-qemu-dm-4.0

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-3515, CVE-2012-4411.

Ytterligare information:

Flera sårbarheter har upptäckts i xen-qemu-dm-4.0, Xen QEMU Device Models virtuella maskin som emulerar hårdvara. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2012-3515:

  Enhetsmodellen för HVM-domäner hanterar inte VT100-escape-sekvenser ordentligt vid emulering av vissa enheter med en virtuell konsoll-backend. En angripare i en gäst med åtkomst till de sårbara virtuella konsollerna kunde skriva över minne i enhetsmodellen och utöka rättigheter till samma som enhetsmodellens process.

• CVE-2012-4411:

  QEMU-övervakningen var aktiverad som standard, vilket tillåter administratörer i en gäst att få åtkomst till resurser i värden, vilket möjligen kan utöka rättigheter eller ge åtkomst till resurser som tillhör en annan gäst.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.0.1-2+squeeze2.

Uttestningsutgåvan (Wheezy), och den instabila utgåvan (Sid), innehåller inte längre detta paket.

Vi rekommenderar att ni uppgraderar era xen-qemu-dm-4.0-paket.