[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:56500] [Translate] [SECURITY] [DSA 2542-1] qemu-kvm security update



くぼです。
URL 等は Debian-security-announce メーリングリストの元記事を
確認ください
------>8------------>8------------>8------------>8------------>8-

- -------------------------------------------------------------------------
Debian Security Advisory DSA-2542-1                   security@debian.org
http://www.debian.org/security/                          Raphael Geissert
September 08, 2012                     http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : qemu-kvm
Vulnerability  : 複数
Problem type   : ローカル
Debian-specific: いいえ
CVE ID         : CVE-2012-2652 CVE-2012-3515

x86ハードウェア用の完全仮想化環境である qemu-kvm に複数の脆弱性が見つかり
ました。The Common Vulnerabilities and Exposures project は以下の問題を認
識しています。

CVE-2012-2652:

    Qemu のスナップショットモード (-snapshot) は、現在の状態を保存するため
    に使う一時ファイルの取り扱いに誤りがあり、ひとつの競合状態によりシンボ
    リックリンク攻撃(任意のファイルの上書き並びにゲストの情報の漏洩を含む)
    に対して脆弱になります。

CVE-2012-3515:

    Qemu は、仮想端末の後方処理とともにある種のデバイスをエミュレートする
    際に VT100 エスケープシーケンスを正しく扱っていません。ゲスト環境下で
    脆弱な仮想端末にアクセスできる攻撃者は Qemu のメモリを上書きして権限
    を qemu プロセスの権限にまで昇格できるかもしれません。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバー
ジョン 0.12.5+dfsg-5+squeeze9 で修正されています。

テスト版 (wheezy) および不安定版 (sid) ディストリビューションでは、これら
の問題は近く修正予定です。

直ぐに qemu-kvm パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
---
久保博 <h-kubo@xxxxxxxxxxxx>