Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3088-1 qemu-kvm

Bulletin d'alerte Debian

DSA-3088-1 qemu-kvm -- Mise à jour de sécurité

Date du rapport :

4 décembre 2014

Paquets concernés :

qemu-kvm

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-8106.

Plus de précisions :

Paolo Bonzini de Red Hat a découvert que les vérifications de région blit étaient insuffisantes dans l'émulateur VGA Cirrus dans qemu-kvm, une solution complète de virtualisation sur les machines x86. Un utilisateur client privilégié pourrait utiliser ce défaut pour écrire dans l'espace d'adresse de qemu sur l'hôte, augmentant potentiellement ses droits à ceux du processus de l'hôte qemu.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.1.2+dfsg-6+deb7u6.

Nous vous recommandons de mettre à jour vos paquets qemu-kvm.