Säkerhetsbulletin från Debian

DSA-3349-1 qemu-kvm -- säkerhetsuppdatering

Rapporterat den:
2015-09-02
Berörda paket:
qemu-kvm
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-5165, CVE-2015-5745.
Ytterligare information:

Flera sårbarheter har upptäckts i qemu-kvm, en komplett virtualiseringslösning på x86-hårdvara.

  • CVE-2015-5165

    Donghai Zhu upptäckte att QEMU-modellen i nätverkskortet RTL8139 inte validerade indata ordentligt i C+ mode offline emulering, vilket tillåter en illasinnad gäst att läsa icke initierat minne från QEMU's processens heap.

  • CVE-2015-5745

    En buffertspillsårbarhet har upptäckts i sättet som QEMU hanterar enheten virtio-serial. En illasinnad gäst kunde använda denna brist för att montera en överbelastning (krasch av QEMU-processen).

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.1.2+dfsg-6+deb7u9.

Vi rekommenderar att ni uppgraderar era qemu-kvm-paket.