Debians sikkerhedsbulletin
DSA-3349-1 qemu-kvm -- sikkerhedsopdatering
- Rapporteret den:
- 2. sep 2015
- Berørte pakker:
- qemu-kvm
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-5165, CVE-2015-5745.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i qemu-kvm, en komplet virtualiseringsløsning på x86-hardware.
- CVE-2015-5165
Donghai Zhu opdagede at QEMU-modellen af RTL8139-netværkskortet, ikke på tilstrækelig vis validerede inddata i emulering af C+-tilstandsoffload, hvilket gjorde det muligt for en ondsindet gæst, at læse uinitialiseret hukommelse fra QEMU-processens heap.
- CVE-2015-5745
En bufferoverløbsårbarhed blev opdaget i den måde, QEMU håndterede virtio-serial-enehden. En ondsindet gæst kunne anvende fejlen til at iværksætte et lammelsesangreb (nedbrud af QEMU-processen).
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.1.2+dfsg-6+deb7u9.
Vi anbefaler at du opgraderer dine qemu-kvm-pakker.
- CVE-2015-5165