Debian セキュリティ勧告

DSA-3088-1 qemu-kvm -- セキュリティ更新

報告日時:
2014-12-04
影響を受けるパッケージ:
qemu-kvm
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-8106.
詳細:

Red Hat の Paolo Bonzini さんが、x86ハードウェア用の完全仮想化環境である qemu-kvm の Cirrus VGA エミュレータが blit 領域のチェックを十分に行っていないことを発見しています。 権限のあるゲストユーザがこの欠陥を悪用してホストの qemu アドレス空間に書き込み、潜在的には qemu ホストプロセスの権限への昇格が可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.1.2+dfsg-6+deb7u6 で修正されています。

直ちに qemu-kvm パッケージをアップグレードすることを勧めます。