在快速處理器模擬器 QEMU 中發現數個弱點：CVE-2018-11806 據發現，SLiRP 網路實作可在重新分配其緩衝區時使用錯誤的大小，具權限的使用者可在客體上惡意利用此問題，造成拒絕服務，或可能在主機系統上造成任意程式碼執行。CVE-2018-18849 據發現，LSI53C895A SCSI 主機匯流排介面卡模擬容易受到超出邊界記憶體存取影響，惡意來賓使用者可利用此問題，損毀 QEMU 處理程序。CVE-2018-20815 在 load_device_tree 函式中發現一個堆積緩衝區溢位，惡意使用者可能會利用此問題，以 QEMU 處理程序的權限，執行任意程式碼。CVE-2019-9824 William Bowling 發現 SLiRP 網路實作未正確處理部分訊息，遭到觸發時，可能會透過特製的訊息洩漏記憶體。針對 Debian 8「Jessie」，這些問題已在 1:2.1+dfsg-12+deb8u11 版本中修正。建議您升級 qemu 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-1781-1：qemu 安全性更新

critical Nessus Plugin ID 124720

版本 1.6