FERRAMENTAS LINUX: Atualização de segurança do Debian para o qemu, aviso Debian LTS: DLA-2623-1

domingo, 11 de abril de 2021

Atualização de segurança do Debian para o qemu, aviso Debian LTS: DLA-2623-1

 

Confira !!


Várias vulnerabilidades de segurança foram descobertas no QEMU, um emulador de processador rápido. CVE-2021-20257

-------------------------------------------------- -----------------------

Debian LTS Advisory DLA-2623-1                 debian-lts@lists.debian.org

https://www.debian.org/lts/security/ Markus Koschany

10 de abril de 2021 https://wiki.debian.org/LTS

-------------------------------------------------- -----------------------


Pacote: qemu

Versão: 1: 2.8 + dfsg-6 + deb9u14

CVE ID: CVE-2020-17380 CVE-2021-3392 CVE-2021-3409 CVE-2021-3416 

                 CVE-2021-20203 CVE-2021-20255 CVE-2021-20257

Bug Debian: 984450 984451 984452 984448 984449 970937


Várias vulnerabilidades de segurança foram descobertas no QEMU, um processador rápido

emulador.


CVE-2021-20257


    net: e1000: loop infinito durante o processamento de descritores de transmissão



CVE-2021-20255


    Um estouro de pilha por meio de uma vulnerabilidade de recursão infinita foi encontrado no

    Emulador de dispositivo eepro100 i8255x de QEMU. Este problema ocorre durante o processamento

    comandos do controlador devido a um problema de reentrada DMA. Esta falha permite que um convidado

    usuário ou processo para consumir ciclos de CPU ou travar o processo QEMU no

    host, resultando em negação de serviço.


CVE-2021-20203


    Um problema de estouro de número inteiro foi encontrado no emulador de NIC vmxnet3 do

    QEMU. Pode ocorrer se um convidado fornecer valores inválidos para a fila rx / tx

    tamanho ou outros parâmetros NIC. Um usuário convidado privilegiado pode usar esta falha para

    travar o processo QEMU no host, resultando no cenário DoS.


CVE-2021-3416


    Um potencial estouro de pilha via problema de loop infinito foi encontrado em vários NIC

    emuladores de QEMU em versões até e incluindo 5.2.0. O problema ocorre

    no modo de loopback de um NIC em que as verificações de DMA reentrantes são contornadas. UMA

    usuário / processo convidado pode usar esta falha para consumir ciclos de CPU ou travar o

    Processo QEMU no host resultando em cenário DoS.



CVE-2021-3416


    O patch para CVE-2020-17380 / CVE-2020-25085 foi considerado ineficaz,

    tornando assim o QEMU vulnerável aos problemas de acesso de leitura / gravação fora dos limites

    anteriormente encontrado no código de emulação do controlador SDHCI. Esta falha permite um

    convidado com privilégios maliciosos para travar o processo QEMU no host, resultando

    em uma negação de serviço ou execução de código potencial.


Para Debian 9 stretch, esses problemas foram corrigidos na versão

1: 2.8 + dfsg-6 + deb9u14.


Recomendamos que você atualize seus pacotes qemu.


Para o status de segurança detalhado do qemu, consulte

sua página de rastreador de segurança em:

https://security-tracker.debian.org/tracker/qemu


Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever

essas atualizações para o seu sistema e as perguntas mais frequentes podem ser

encontrado em: https://wiki.debian.org/LTS






Fonte

Até a próxima !


Nenhum comentário:

Postar um comentário