qemu-kvm-1.5.3-156.el7

エラータID: AXSA:2018-2655:03

リリース日: 
2018/04/10 Tuesday - 19:41
題名: 
qemu-kvm-1.5.3-156.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Low
Description: 

以下項目について対処しました。

[Security Fix]
- QEMU は,VGA ディスプレイエミュレータのサポートとともに
ビルドされている場合,ローカルのゲスト OS の権限のあるユーザが
サービス拒否 (境界外からの読み込みと QEMU のプロセスのクラッ
シュ) を引き起こす脆弱性があります。(CVE-2017-13672)

- QEMU の slirp/socket.c の sofree 関数には,保留中のパケットの
ifq_so の適切なクリアに失敗するバグを利用し,攻撃者が解放されている
メモリへのアクセスによりサービス拒否 (QEMU のインスタンスのクラッ
シュ) を引き起こす脆弱性があります。(CVE-2017-13711)

- QEMU の VNC サーバの実装には,クライアントに送信するフレームバッ
ファのアップデートを制限しないため,無限にメモリを割り当てる問題が
存在します。クライアントがこのアップデートを処理しない場合,VNC
サーバがこのデータを保持するために割り当てるメモリが増加し,悪意の
あるリモートの VNC クライアントがサーバホストに対してサービス拒否を
引き起こす脆弱性があります。(CVE-2017-15124)

- QEMU には,io/channel-websock.c に関連する,低速なデータチャネルの
読み込み操作をきっかけにして,リモートの攻撃者がメモリリークを引き起
こす脆弱性があります。 (CVE-2017-15268)

- QEMU の vga_draw_text 関数には,不適切なメモリアドレスの検証を
きっかけにして,ローカルの OS ゲストの権限のあるユーザがサービス拒否
(境界外からの読み込みと QEMU のプロセスのクラッシュ) を引き起こす脆
弱性があります。(CVE-2018-5683)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. qemu-kvm-1.5.3-156.el7.src.rpm
    MD5: 925e89429b16b93b8768f86e65c71f5b
    SHA-256: 556f612d0ad9a0f82c64966efb2a80496d1f154d3d63a5e7a38cbbef805a5e7f
    Size: 14.83 MB

Asianux Server 7 for x86_64
  1. qemu-img-1.5.3-156.el7.x86_64.rpm
    MD5: a473ff9e307960564c81fd154f6862e8
    SHA-256: 869360702256a02cabd8f3fb41c6a132a130ccbd2be80a1bad5780d667fcbbc0
    Size: 689.26 kB
  2. qemu-kvm-1.5.3-156.el7.x86_64.rpm
    MD5: eded541ff691470b0cad9a1a7ddd67f0
    SHA-256: 060b76bcc97090607aff4c2ceb1cd98ec68682ad1cc186d4e43a0e31f8ebdc1d
    Size: 1.91 MB
  3. qemu-kvm-common-1.5.3-156.el7.x86_64.rpm
    MD5: 1c212dbf77c5ce178e335cc7ba601d2b
    SHA-256: 1b89934ae6ad3060c82255135a1a3218296bd7dcfba625e9cc21b0459a8f5df8
    Size: 426.44 kB
  4. qemu-kvm-tools-1.5.3-156.el7.x86_64.rpm
    MD5: 87e053c2ae522988d6a81f4ab2042241
    SHA-256: c37790406e3ded5e68c47fb9466303bc5d25c3963b7c0eed58157997db261c6d
    Size: 224.55 kB