Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-1284-1 qemu -- Mehrere Verwundbarkeiten

Datum des Berichts:

01. Mai 2007

Betroffene Pakete:

qemu

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2007-1320, CVE-2007-1321, CVE-2007-1322, CVE-2007-1323, CVE-2007-1366.

Weitere Informationen:

Mehrere Verwundbarkeiten wurden im QEMU-Prozessor-Emulator entdeckt, was zur Ausführung beliebigen Codes oder einer Diensteverweigerung (denial of service) führen kann. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

• CVE-2007-1320

  Tavis Ormandy entdeckte, dass eine Speicherverwaltungsroutine des Cirrus-Video-Treibers unzureichende Tests der Schranken durchführt, was die Ausführung beliebigen Codes durch einen Heap-Überlauf ermöglicht.

• CVE-2007-1321

  Tavis Ormandy entdeckte, dass der NE2000-Netzwerk-Treiber und der Socket-Code unzureichende Eingabeüberprüfungen durchführt, was die Ausführung beliebigen Codes durch einen Heap-Überlauf ermöglicht.

• CVE-2007-1322

  Tavis Ormandy entdeckte, dass der Befehl icebp dazu missbraucht werden kann, die Emulation zu beenden, was zu einer Diensteverweigerung führt.

• CVE-2007-1323

  Tavis Ormandy entdeckte, dass der NE2000-Netzwerk-Treiber und der Socket-Code unzureichende Eingabeüberprüfungen durchführt, was die Ausführung beliebigen Codes durch einen Heap-Überlauf ermöglicht.

• CVE-2007-1366

  Tavis Ormandy entdeckte, dass der Befehl aam dazu missbraucht werden kann, die Emulation zum Absturz zu bringen, indem durch Null dividiert wird, was zu einer Diensteverweigerung führt.

Für die alte Stable-Distribution (Sarge) wurden diese Probleme in Version 0.6.1+20050407-1sarge1 behoben.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 0.8.2-4etch1 behoben.

Für die Unstable-Distribution (Sid) werden diese Probleme bald behoben sein.

Wir empfehlen Ihnen, Ihre qemu-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.6.1+20050407-1sarge1.dsc

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.6.1+20050407-1sarge1.diff.gz

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.6.1+20050407.orig.tar.gz

Intel IA-32:

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.6.1+20050407-1sarge1_i386.deb

PowerPC:

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.6.1+20050407-1sarge1_powerpc.deb

Debian GNU/Linux 4.0 (etch)

Quellcode:

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch1.dsc

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch1.diff.gz

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2.orig.tar.gz

AMD64:

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch1_amd64.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch1_i386.deb

PowerPC:

http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch1_powerpc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein