当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

QEMU \'arch_init.c\'本地内存破坏漏洞

     发表日期:2014-12-06 14:12:00

QEMU \'arch_init.c\'本地内存破坏漏洞
BugTraq-ID:71658
CVE-ID:CVE-2014-7840
发布日期:2014-12-11
更新日期:2014-12-15
受影响系统:
QEMU QEMU
详细信息:

QEMU是一款开源模拟器软件。

 

QEMU迁移中加载RAM时,arch_init.c的host_from_stream_offset函数在实现中存在本地内存破坏漏洞,远程攻击者通过savevm数据内的偏移或长度值,利用此漏洞可执行任意代码。


来源:
Michael S. Tsirkin
参考信息:
http://xforce.iss.net/xforce/xfdb/99194
解决办法:
厂商补丁:

QEMU
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://git.qemu.org/?p=qemu.git;a=commit;h=0be839a2701369f669532ea5884c15bead1c6e08

https://bugzilla.redhat.com/show_bug.cgi?id=1163075