Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3361-1 qemu

Bulletin d'alerte Debian

DSA-3361-1 qemu -- Mise à jour de sécurité

Date du rapport :

18 septembre 2015

Paquets concernés :

qemu

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 798101, Bogue 799073, Bogue 799074.
Dans le dictionnaire CVE du Mitre : CVE-2015-5278, CVE-2015-5279, CVE-2015-6815, CVE-2015-6855.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans qemu, un émulateur de processeur rapide.

• CVE-2015-5278

  Qinghao Tang de QIHU 360 Inc. a découvert un problème de boucle infinie dans l'émulation de la carte d'interface réseau NE2000. Un utilisateur client privilégié pourrait utiliser ce défaut pour monter un déni de service (plantage du processus de QEMU).

• CVE-2015-5279

  Qinghao Tang de QIHU 360 Inc. a découvert un défaut de dépassement de tampon de tas dans l'émulation de la carte d'interface réseau NE2000. Un utilisateur client privilégié pourrait utiliser ce défaut pour monter un déni de service (plantage du processus de QEMU) ou, éventuellement, pour exécuter du code arbitraire sur l'hôte avec les privilèges du processus hôte de QEMU.

• CVE-2015-6815

  Qinghao Tang de QIHU 360 Inc. a découvert un problème de boucle infinie dans l'émulation de la carte d'interface réseau e1000. Un utilisateur client privilégié pourrait utiliser ce défaut pour monter un déni de service (plantage du processus de QEMU).

• CVE-2015-6855

  Qinghao Tang de QIHU 360 Inc. a découvert un défaut dans le sous-système IDE de QEMU lors de l'exécution de la commande WIN_READ_NATIVE_MAX d'IDE pour déterminer la taille d'un disque. Un utilisateur client privilégié pourrait utiliser ce défaut pour monter un déni de service (plantage du processus de QEMU).

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.1.2+dfsg-6a+deb7u11.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:2.1+dfsg-12+deb8u4.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1:2.4+dfsg-3 ou antérieure.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:2.4+dfsg-3 ou antérieure.

Nous vous recommandons de mettre à jour vos paquets qemu.