Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2910-1 qemu-kvm

Bulletin d'alerte Debian

DSA-2910-1 qemu-kvm -- Mise à jour de sécurité

Date du rapport :

18 avril 2014

Paquets concernés :

qemu-kvm

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0150.

Plus de précisions :

Michael S. Tsirkin de Red Hat a découvert un défaut de dépassement de tampon dans la façon dont qemu traite les requêtes de l'invité pour mettre à jour les tables d'adresses MAC.

Un utilisateur invité privilégié pourrait utiliser ce défaut pour corrompre la mémoire du processus qemu sur l'hôte, ce qui pourrait éventuellement mener à l'exécution de code arbitraire sur l'hôte avec les droits du processus qemu.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 0.12.5+dfsg-5+squeeze11.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.1.2+dfsg-6+deb7u1.

Nous vous recommandons de mettre à jour vos paquets qemu-kvm.