FERRAMENTAS LINUX: Atualização de segurança do Ubuntu para corrigir as vulnerabilidades do QEMU, aviso Ubuntu 4467-1

quarta-feira, 19 de agosto de 2020

Atualização de segurança do Ubuntu para corrigir as vulnerabilidades do QEMU, aviso Ubuntu 4467-1



Confira !!



Vários problemas de segurança foram corrigidos no QEMU.
========================================================== ==========================
Aviso de segurança do Ubuntu USN-4467-1
19 de agosto de 2020

vulnerabilidades qemu
========================================================== ==========================

Um problema de segurança afeta essas versões do Ubuntu e seus derivados:

- Ubuntu 20.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS

Resumo:

Vários problemas de segurança foram corrigidos no QEMU.

Descrição do software:
- qemu: emulador de máquina e virtualizador

Detalhes:

Ziming Zhang e VictorV descobriram que a rede QEMU SLiRP
implementação tratada incorretamente respondendo a certas solicitações de eco ICMP.
Um invasor dentro de um convidado poderia usar esse problema para vazar o host
memória para obter informações sensíveis. Este problema afetou apenas o Ubuntu
18.04 LTS. (CVE-2020-10756)

Eric Blake e Xueqiang Wei descobriram que a implementação do QEMU NDB
lidou incorretamente com certos pedidos. Um invasor remoto poderia usar
esse problema fazia com que o QEMU travasse, resultando em negação de serviço. este
problema afetou apenas o Ubuntu 20.04 LTS. (CVE-2020-10761)

Ziming Zhang descobriu que o driver gráfico QEMU SM501 incorretamente
tratou de certas operações. Um invasor dentro de um convidado pode usar este problema
para fazer o QEMU travar, resultando em negação de serviço, ou possivelmente
execute código arbitrário. (CVE-2020-12829)

Foi descoberto que a implementação do cartão de memória SD QEMU incorretamente
tratou de certas operações de memória. Um invasor dentro de um convidado pode
possivelmente usar esse problema para fazer com que o QEMU trave, resultando em uma negação de
serviço. (CVE-2020-13253)

Ren Ding e Hanqing Zhao descobriram que o driver de áudio QEMU ES1370
manipulou incorretamente certas contagens de frames inválidas. Um atacante dentro de um
convidado poderia possivelmente usar este problema para fazer o QEMU travar, resultando em um
negação de serviço. (CVE-2020-13361)

Ren Ding e Hanqing Zhao descobriram que o driver QEMU MegaRAID SAS SCSI
manipulado incorretamente certas operações de memória. Um invasor dentro de um convidado
poderia possivelmente usar esse problema para fazer com que o QEMU travasse, resultando em uma negação
de serviço. (CVE-2020-13362)

Alexander Bulekov descobriu que o driver QEMU MegaRAID SAS SCSI incorretamente
tratou de certas operações de espaço de memória. Um invasor dentro de um convidado pode
possivelmente usar esse problema para fazer com que o QEMU trave, resultando em uma negação de
serviço. (CVE-2020-13659)

Ren Ding, Hanqing Zhao, Alexander Bulekov e Anatoly Trosinenko
descobriu que o QEMU manipulou incorretamente certas operações msi-x mmio.
Um invasor dentro de um convidado pode possivelmente usar esse problema para fazer com que o QEMU
falha, resultando em negação de serviço. (CVE-2020-13754)

Foi descoberto que o QEMU manipulou incorretamente certas cópias de memória
operações ao carregar o conteúdo da ROM. Se um usuário foi induzido a correr
uma imagem de kernel não confiável, um invasor remoto poderia usar esse problema
para executar código arbitrário. Este problema afetou apenas o Ubuntu 16.04 LTS e o Ubuntu
18.04 LTS. (CVE-2020-13765)

Ren Ding, Hanqing Zhao e Yi Ren descobriram que o vídeo QEMU ATI
driver manipulou incorretamente certos valores de índice. Um invasor dentro de um convidado
poderia possivelmente usar esse problema para fazer com que o QEMU travasse, resultando em uma negação
de serviço. Esse problema afetou apenas o Ubuntu 20.04 LTS. (CVE-2020-13800)

Ziming Zhang descobriu que o driver de áudio QEMU OSS manipulado incorretamente
certas operações. Um invasor dentro de um convidado poderia usar este
problema para fazer o QEMU travar, resultando em negação de serviço. Esse assunto
afetou apenas o Ubuntu 20.04 LTS. (CVE-2020-14415)

Ziming Zhang descobriu que o controlador QEMU XGMAC Ethernet incorretamente
transmissão de pacotes tratados. Um invasor dentro de um convidado pode usar este
problema para fazer o QEMU travar, resultando em negação de serviço, ou possivelmente
execute código arbitrário. (CVE-2020-15863)

Ziming Zhang descobriu que o controlador Ethernet QEMU e1000e
processamento de pacotes tratado incorretamente. Um invasor dentro de um convidado pode
possivelmente usar esse problema para fazer com que o QEMU trave, resultando em uma negação de
serviço. Esse problema afetou apenas o Ubuntu 18.04 LTS e o Ubuntu 20.04 LTS.
(CVE-2020-16092)

Instruções de atualização:

O problema pode ser corrigido atualizando seu sistema para o seguinte
versões do pacote:

Ubuntu 20.04 LTS:
  qemu 1: 4.2-3ubuntu6.4
  qemu-system 1: 4.2-3ubuntu6.4
  qemu-system-arm 1: 4.2-3ubuntu6.4
  qemu-system-mips 1: 4.2-3ubuntu6.4
  qemu-system-ppc 1: 4.2-3ubuntu6.4
  qemu-system-s390x 1: 4.2-3ubuntu6.4
  qemu-system-sparc 1: 4.2-3ubuntu6.4
  qemu-system-x86 1: 4.2-3ubuntu6.4
  qemu-system-x86-microvm 1: 4.2-3ubuntu6.4
  qemu-system-x86-xen 1: 4.2-3ubuntu6.4

Ubuntu 18.04 LTS:
  qemu 1: 2.11 + dfsg-1ubuntu7.31
  qemu-system 1: 2.11 + dfsg-1ubuntu7.31
  qemu-system-mips 1: 2.11 + dfsg-1ubuntu7.31
  qemu-system-ppc 1: 2.11 + dfsg-1ubuntu7.31
  qemu-system-s390x 1: 2.11 + dfsg-1ubuntu7.31
  qemu-system-sparc 1: 2.11 + dfsg-1ubuntu7.31
  qemu-system-x86 1: 2.11 + dfsg-1ubuntu7.31

Ubuntu 16.04 LTS:
  qemu 1: 2.5 + dfsg-5ubuntu10.45
  qemu-system 1: 2.5 + dfsg-5ubuntu10.45
  qemu-system-aarch64 1: 2.5 + dfsg-5ubuntu10.45
  qemu-system-arm 1: 2.5 + dfsg-5ubuntu10.45
  qemu-system-mips 1: 2.5 + dfsg-5ubuntu10.45
  qemu-system-ppc 1: 2.5 + dfsg-5ubuntu10.45
  qemu-system-s390x 1: 2.5 + dfsg-5ubuntu10.45
  qemu-system-sparc 1: 2.5 + dfsg-5ubuntu10.45
  qemu-system-x86 1: 2.5 + dfsg-5ubuntu10.45

Após uma atualização padrão do sistema, você precisa reiniciar todos os QEMU virtuais
máquinas para fazer todas as alterações necessárias.

Referências:
  https://usn.ubuntu.com/4467-1
  CVE-2020-10756, CVE-2020-10761, CVE-2020-12829, CVE-2020-13253,
  CVE-2020-13361, CVE-2020-13362, CVE-2020-13659, CVE-2020-13754,
  CVE-2020-13765, CVE-2020-13800, CVE-2020-14415, CVE-2020-15863,
  CVE-2020-16092

Informações do pacote:
  https://launchpad.net/ubuntu/+source/qemu/1:4.2-3ubuntu6.4
  https://launchpad.net/ubuntu/+source/qemu/1:2.11+dfsg-1ubuntu7.31
  https://launchpad.net/ubuntu/+source/qemu/1:2.5+dfsg-5ubuntu10.45

Nenhum comentário:

Postar um comentário