Debians sikkerhedsbulletin
DSA-3361-1 qemu -- sikkerhedsopdatering
- Rapporteret den:
- 18. sep 2015
- Berørte pakker:
- qemu
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 798101, Fejl 799073, Fejl 799074.
I Mitres CVE-ordbog: CVE-2015-5278, CVE-2015-5279, CVE-2015-6815, CVE-2015-6855. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i qemu, en hurtig processoremulator.
- CVE-2015-5278
Qinghao Tang fra QIHU 360 Inc. opdagede et problemmed en uendelig løkke i emuleringen af NE2000 NIC. En priviligeret gæstebruger kunne udnytte fejlen til at iværksætte et lammelsesangreb (nedbrud af QEMU-processen).
- CVE-2015-5279
Qinghao Tang fra QIHU 360 Inc. opdagede en heapbufferoverløbsfejl i emuleringen af NE2000 NIC. En priviligeret gæstebruger kunne udnytte fejlen til at iværksætte et lammelsesangreb (nedbrud af QEMU-processen) eller potentielt udføre vilkårlig kode på værten, med rettighederne hørende til værts-QEMU-processen.
- CVE-2015-6815
Qinghao Tang fra QIHU 360 Inc. opdagede et problem med en uendelig løkke i emuleringen af e1000 NIC. En priviligeret gøstebruger kunne udnytte fejlen til at iværksætte et lammelsesangreb (nedbrud af QEMU-processen).
- CVE-2015-6855
Qinghao Tang fra QIHU 360 Inc. opdagede en fejl i IDE-undersystemet i QEMU, der optrådte når IDE'ens WIN_READ_NATIVE_MAX-kommando blev udført for at finde den maksimale størrelse på et drev. En priviligeret gæstebruger kunne udnytte fejlen til at iværksætte et lammelsesangreb (nedbrud i QEMU-processen).
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.1.2+dfsg-6a+deb7u11.
I den stabile distribution (jessie), er disse problemer rettet i version 1:2.1+dfsg-12+deb8u4.
I distributionen testing (stretch), er disse problemer rettet i version 1:2.4+dfsg-3 or earlier.
I den ustabile distribution (sid), er disse problemer rettet i version 1:2.4+dfsg-3 or earlier.
Vi anbefaler at du opgraderer dine qemu-pakker.
- CVE-2015-5278