Säkerhetsbulletin från Debian
DSA-3349-1 qemu-kvm -- säkerhetsuppdatering
- Rapporterat den:
- 2015-09-02
- Berörda paket:
- qemu-kvm
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-5165, CVE-2015-5745.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i qemu-kvm, en komplett virtualiseringslösning på x86-hårdvara.
- CVE-2015-5165
Donghai Zhu upptäckte att QEMU-modellen i nätverkskortet RTL8139 inte validerade indata ordentligt i C+ mode offline emulering, vilket tillåter en illasinnad gäst att läsa icke initierat minne från QEMU's processens heap.
- CVE-2015-5745
En buffertspillsårbarhet har upptäckts i sättet som QEMU hanterar enheten virtio-serial. En illasinnad gäst kunde använda denna brist för att montera en överbelastning (krasch av QEMU-processen).
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.1.2+dfsg-6+deb7u9.
Vi rekommenderar att ni uppgraderar era qemu-kvm-paket.
- CVE-2015-5165