• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3285-1 qemu-kvm -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3285-1 qemu-kvm -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
qemu-kvm (any)
Описание
В qemu-kvm, полном решении для виртуализации на оборудовании с архитектурой
x86, были обнаружены несколько уязвимостей.

CVE-2015-3209
Мэт Тайт из команды безопасности Google Project Zero обнаружил уязвимость
    в способе, используемом при эмуляции AMD PCnet Ethernet для обработки multi-TMD
    пакетов с длиной более 4096 байт. Привилегированный пользователь гостевой системы
    с включённой сетевой картой AMD PCNet потенциально может использовать
    данную уязвимость для выполнения произвольного кода на хост-системе с правами
    процесса QEMU.
CVE-2015-4037
Курт Зайфрид из Red Hat Product Security обнаружил, что пользовательский режим
    сетевого стека QEMU использует предсказуемые имена временных файлов
    при использовании опции -smb. Непривилегированный пользователь может использовать данную
    уязвимость для вызова отказа в обслуживании.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 1.1.2+dfsg-6+deb7u8.
Рекомендуется обновить пакеты qemu-kvm.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
qemu-kvm - 1.1.2+dfsg-6+deb7u8
Ссылки
http://www.debian.org/security/dsa-3285/

Источник: CVE
Наименование: CVE-2015-3209
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3209

Источник: CVE
Наименование: CVE-2015-4037
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4037