L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de QEMU

bulletin de vulnérabilité informatique CVE-2019-13164

QEMU : obtention d'information via qemu-bridge-helper ACL Bypass

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via qemu-bridge-helper ACL Bypass de QEMU, afin d'obtenir des informations sensibles.
Produits concernés : Debian, openSUSE Leap, QEMU, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 03/07/2019.
Références : CVE-2019-13164, DLA-1927-1, DSA-4506-1, DSA-4512-1, openSUSE-SU-2019:2041-1, openSUSE-SU-2019:2059-1, SUSE-SU-2019:14151-1, SUSE-SU-2019:2157-1, SUSE-SU-2019:2192-1, SUSE-SU-2019:2221-1, SUSE-SU-2019:2246-1, SUSE-SU-2019:2353-1, VIGILANCE-VUL-29678.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via qemu-bridge-helper ACL Bypass de QEMU, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2019-12929

QEMU : exécution de code via QMP guest-exec

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via QMP guest-exec de QEMU, afin d'exécuter du code.
Produits concernés : QEMU.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 25/06/2019.
Références : CVE-2019-12929, VIGILANCE-VUL-29617.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via QMP guest-exec de QEMU, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2019-12928

QEMU : exécution de code via QMP Migrate

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via QMP Migrate de QEMU, afin d'exécuter du code.
Produits concernés : QEMU.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 25/06/2019.
Références : CVE-2019-12928, VIGILANCE-VUL-29616.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via QMP Migrate de QEMU, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2019-12247

qemu-guest-agent : débordement d'entier dans la commande guest-exec

Synthèse de la vulnérabilité

Un attaquant, dans un système invité, peut provoquer un débordement d'entier via guest-exec de qemu-guest-agent, afin de mener un déni de service, et éventuellement d'exécuter du code sur le système hôte.
Produits concernés : QEMU.
Gravité : 1/4.
Conséquences : accès/droits privilégié, déni de service du service.
Provenance : shell utilisateur.
Date création : 22/05/2019.
Références : CVE-2019-12247, VIGILANCE-VUL-29385.

Description de la vulnérabilité

Un attaquant, dans un système invité, peut provoquer un débordement d'entier via guest-exec de qemu-guest-agent, afin de mener un déni de service, et éventuellement d'exécuter du code sur le système hôte.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2019-12155

QEMU : déréférencement de pointeur NULL dans le pilote QXL

Synthèse de la vulnérabilité

Un attaquant, dans un système invité, peut forcer le déréférencement d'un pointeur NULL via QXL de QEMU, afin de mener un déni de service sur le système hôte.
Produits concernés : Debian, openSUSE Leap, QEMU, RHEL, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 22/05/2019.
Références : CVE-2019-12155, DLA-1927-1, DSA-4454-1, DSA-4454-2, openSUSE-SU-2019:2041-1, openSUSE-SU-2019:2059-1, RHSA-2019:2607-01, RHSA-2019:2892-01, SUSE-SU-2019:14151-1, SUSE-SU-2019:2157-1, SUSE-SU-2019:2192-1, SUSE-SU-2019:2221-1, SUSE-SU-2019:2246-1, SUSE-SU-2019:2353-1, VIGILANCE-VUL-29384.

Description de la vulnérabilité

Un attaquant, dans un système invité, peut forcer le déréférencement d'un pointeur NULL via QXL de QEMU, afin de mener un déni de service sur le système hôte.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2019-5008

QEMU : déréférencement de pointeur NULL via power_mem_ops

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via power_mem_ops de QEMU, afin de mener un déni de service.
Produits concernés : openSUSE Leap, QEMU, SLES, Ubuntu.
Gravité : 1/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : shell utilisateur.
Date création : 15/05/2019.
Références : CVE-2019-5008, openSUSE-SU-2019:2041-1, SUSE-SU-2019:2192-1, USN-3978-1, VIGILANCE-VUL-29305.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via power_mem_ops de QEMU, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-20815

QEMU : buffer overflow via load_device_tree

Synthèse de la vulnérabilité

Un attaquant, dans un système invité, peut provoquer un buffer overflow via load_device_tree() de QEMU, afin de mener un déni de service, et éventuellement d'exécuter du code sur le système hôte.
Produits concernés : Debian, openSUSE Leap, QEMU, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, déni de service du serveur, déni de service du service.
Provenance : shell utilisateur.
Date création : 27/03/2019.
Références : CERTFR-2019-AVI-230, CVE-2018-20815, DLA-1781-1, DSA-4506-1, openSUSE-SU-2019:1274-1, openSUSE-SU-2019:1405-1, openSUSE-SU-2019:1419-1, RHSA-2019:1175-01, RHSA-2019:1881-01, SUSE-SU-2019:1238-1, SUSE-SU-2019:1239-1, SUSE-SU-2019:1268-1, SUSE-SU-2019:1269-1, SUSE-SU-2019:1272-1, SUSE-SU-2019:1348-1, SUSE-SU-2019:1349-1, SUSE-SU-2019:1371-1, SUSE-SU-2019:14052-1, SUSE-SU-2019:14063-1, USN-3978-1, VIGILANCE-VUL-28875.

Description de la vulnérabilité

Un attaquant, dans un système invité, peut provoquer un buffer overflow via load_device_tree() de QEMU, afin de mener un déni de service, et éventuellement d'exécuter du code sur le système hôte.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2019-9824

QEMU : obtention d'information via SLiRP tcp_emu

Synthèse de la vulnérabilité

Un attaquant local, dans un système invité, peut lire un fragment de la mémoire via SLiRP tcp_emu() de QEMU, afin d'obtenir des informations sensibles sur le système hôte.
Produits concernés : Debian, openSUSE Leap, QEMU, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 18/03/2019.
Références : CERTFR-2019-AVI-230, CVE-2019-9824, DLA-1781-1, DSA-4454-1, DSA-4454-2, openSUSE-SU-2019:1226-1, openSUSE-SU-2019:1274-1, openSUSE-SU-2019:1405-1, RHSA-2019:1650-01, RHSA-2019:2078-01, SUSE-SU-2019:0825-1, SUSE-SU-2019:0827-1, SUSE-SU-2019:0891-1, SUSE-SU-2019:0921-1, SUSE-SU-2019:1238-1, SUSE-SU-2019:1239-1, SUSE-SU-2019:1268-1, SUSE-SU-2019:1269-1, SUSE-SU-2019:1272-1, SUSE-SU-2019:14001-1, SUSE-SU-2019:14011-1, SUSE-SU-2019:14052-1, USN-3978-1, VIGILANCE-VUL-28758.

Description de la vulnérabilité

Un attaquant local, dans un système invité, peut lire un fragment de la mémoire via SLiRP tcp_emu() de QEMU, afin d'obtenir des informations sensibles sur le système hôte.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2019-8934

QEMU : obtention d'information via PPC64 sPAPR host-serial/model

Synthèse de la vulnérabilité

Un attaquant, dans un système invité, peut contourner les restrictions d'accès aux données via PPC64 sPAPR host-serial/model de QEMU, afin d'obtenir des informations sensibles sur le système hôte.
Produits concernés : openSUSE Leap, QEMU, SUSE Linux Enterprise Desktop, SLES.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 21/02/2019.
Références : CERTFR-2019-AVI-230, CVE-2019-8934, openSUSE-SU-2019:1274-1, openSUSE-SU-2019:1405-1, SUSE-SU-2019:1238-1, SUSE-SU-2019:1239-1, VIGILANCE-VUL-28572.

Description de la vulnérabilité

Un attaquant, dans un système invité, peut contourner les restrictions d'accès aux données via PPC64 sPAPR host-serial/model de QEMU, afin d'obtenir des informations sensibles sur le système hôte.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2019-3812

QEMU : lecture de mémoire hors plage prévue via i2c_ddc_rx

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via i2c_ddc_rx() de QEMU, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : Debian, Fedora, openSUSE Leap, QEMU, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Date création : 18/02/2019.
Références : CERTFR-2019-AVI-230, CVE-2019-3812, DSA-4454-1, DSA-4454-2, FEDORA-2019-88a98ce795, openSUSE-SU-2019:1274-1, openSUSE-SU-2019:1405-1, SUSE-SU-2019:1238-1, SUSE-SU-2019:1239-1, USN-3923-1, VIGILANCE-VUL-28530.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via i2c_ddc_rx() de QEMU, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur QEMU :