Säkerhetsbulletin från Debian
DSA-3361-1 qemu -- säkerhetsuppdatering
- Rapporterat den:
- 2015-09-18
- Berörda paket:
- qemu
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 798101, Fel 799073, Fel 799074.
I Mitres CVE-förteckning: CVE-2015-5278, CVE-2015-5279, CVE-2015-6815, CVE-2015-6855. - Ytterligare information:
-
Flera sårbarheter har upptäckts i qemu, en snabb processoremulator.
- CVE-2015-5278
Qinghao Tang från QIHU 360 Inc. upptäckte ett problem med en oändlig loop i NE2000 NIC-emuleringen. En priviligierad gäst kunde använda denna brist för att skapa en överbelastning (krasch av QEMU-processen).
- CVE-2015-5279
Qinghao Tang från QIHU 360 Inc. upptäckte ett heapbuffertspill i emuleringen av NE2000 NIC. En priviligierad gästanvändare kunde använda denna brist för att montera en överbelastning (krasch av QEMU-processen), eller potentiellt körning av godtycklig kod på värden med samma rättigheter som värdens QEMU-process.
- CVE-2015-6815
Qinghao Tang från QIHU 360 Inc. upptäckte en brist med en oändlig loop i emuleringen av e1000 NIC. En priviligierad användare kunde använda denna brist för att montera en överbelastning (krasch av QEMU-processen).
- CVE-2015-6855
Qinghao Tang från QIHU 360 Inc. upptäckte en brist i IDE-undersystemet i QEMU som uppstår när man kör IDE's WIN_READ_NATIVE_MAX-kommando för att avgöra största storleken på en enhet. En priviligierad gästanvändare kunde använda denna brist för att montera en överbelastning (krasch av QEMU-processen).
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.1.2+dfsg-6a+deb7u11.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:2.1+dfsg-12+deb8u4.
För uttestningsutgåvan (Stretch) har dessa problem rättats i version 1:2.4+dfsg-3 or earlier.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1:2.4+dfsg-3 or earlier.
Vi rekommenderar att ni uppgraderar era qemu-paket.
- CVE-2015-5278