Mandriva Linux 安全性公告:qemu (MDVSA-2015:210)

high Nessus Plugin ID 83102

Synopsis

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

描述

更新版 qemu 套件可修正安全性弱點:

在 QEMU 處理格式錯誤之 Physical Region Descriptor Table (PRDT) 資料 (這些資料已傳送至主機 IDE 和/或 AHCI 控制器模擬) 的方式中發現一個拒絕服務瑕疵。有權限的來賓使用者可利用此瑕疵造成系統當機 (rhbz#1204919)。

發現 QEMU 的 websocket 框架解碼器會在用於處理標頭和承載的資源尚未設定限制的情況下,即開始處理傳入的框架。若攻擊者可存取來賓的 VNC 主控台,就可利用此瑕疵,耗盡所有可用的記憶體和 CPU,從而觸發主機拒絕服務 (CVE-2015-1779)。

解決方案

更新受影響的 qemu 和/或 qemu-img 套件。

另請參閱

http://advisories.mageia.org/MGASA-2015-0149.html

Plugin 詳細資訊

嚴重性: High

ID: 83102

檔案名稱: mandriva_MDVSA-2015-210.nasl

版本: 2.4

類型: local

已發布: 2015/4/28

已更新: 2021/1/14

風險資訊

VPR

風險因素: Medium

分數: 4.4

弱點資訊

CPE: p-cpe:/a:mandriva:linux:qemu, p-cpe:/a:mandriva:linux:qemu-img, cpe:/o:mandriva:business_server:1, cpe:/o:mandriva:business_server:2

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

修補程式發佈日期: 2015/4/27

參考資訊

CVE: CVE-2015-1779

MDVSA: 2015:210