Debian セキュリティ勧告
DSA-3088-1 qemu-kvm -- セキュリティ更新
- 報告日時:
- 2014-12-04
- 影響を受けるパッケージ:
- qemu-kvm
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2014-8106.
- 詳細:
-
Red Hat の Paolo Bonzini さんが、x86ハードウェア用の完全仮想化環境である qemu-kvm の Cirrus VGA エミュレータが blit 領域のチェックを十分に行っていないことを発見しています。 権限のあるゲストユーザがこの欠陥を悪用してホストの qemu アドレス空間に書き込み、潜在的には qemu ホストプロセスの権限への昇格が可能です。
安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.1.2+dfsg-6+deb7u6 で修正されています。
直ちに qemu-kvm パッケージをアップグレードすることを勧めます。