操作系统--麒麟信安操作系统,国产操作系统,麒麟信安云桌面—

公告ID (KylinSec-SA-2022-1468)

摘要:

qemu security update

安全等级: Medium

公告ID: KylinSec-SA-2022-1468

发布日期: 2025年2月10日

关联CVE: CVE-2021-3607 CVE-2021-3608

详细介绍

1. 漏洞描述

QEMU是一个快速的处理器模拟器，使用动态转换技术来实现良好的仿真速度。

安全修复：

在QEMU实现的VMWare的paravirtual RDMA设备中发现了一个整数溢出问题，这个问题出现在6.1.0版本之前的版本中。问题发生在处理来自客户机的"PVRDMA_REG_DSRHIGH"写入时，由于输入验证不当。这个漏洞允许特权客户机用户使QEMU分配大量内存，导致拒绝服务。这个漏洞的最高威胁是系统可用性。(CVE-2021-3607)

在QEMU实现的VMWare的paravirtual RDMA设备中发现了一个缺陷，这个问题出现在6.1.0版本之前的版本中。问题发生在处理来自客户机的"PVRDMA_REG_DSRHIGH"写入时，可能导致QEMU崩溃或由于访问未初始化的指针而导致未定义行为。这个漏洞的最高威胁是系统可用性。(CVE-2021-3608)

2. 影响范围

cve名称	产品	组件	是否受影响
CVE-2021-3607	KY3.4-4A	qemu	Fixed
CVE-2021-3607	KY3.4-5	qemu	Fixed
CVE-2021-3608	KY3.4-4A	qemu	Fixed
CVE-2021-3608	KY3.4-5	qemu	Fixed

3. 影响组件

qemu

4. 修复版本

KY3.4-5

软件名称	架构	版本号
qemu-help	noarch	4.1.0-67.kb2.ky3
qemu	x86_64	4.1.0-67.kb2.ky3
qemu-block-ssh	x86_64	4.1.0-67.kb2.ky3
qemu-block-curl	x86_64	4.1.0-67.kb2.ky3
qemu-seabios	x86_64	4.1.0-67.kb2.ky3
qemu-block-iscsi	x86_64	4.1.0-67.kb2.ky3
qemu-img	x86_64	4.1.0-67.kb2.ky3
qemu-block-rbd	x86_64	4.1.0-67.kb2.ky3
qemu-guest-agent	x86_64	4.1.0-67.kb2.ky3
qemu-img	aarch64	4.1.0-67.kb2.ky3
qemu-block-curl	aarch64	4.1.0-67.kb2.ky3
qemu-block-rbd	aarch64	4.1.0-67.kb2.ky3
qemu-block-iscsi	aarch64	4.1.0-67.kb2.ky3
qemu-guest-agent	aarch64	4.1.0-67.kb2.ky3
qemu	aarch64	4.1.0-67.kb2.ky3
qemu-block-ssh	aarch64	4.1.0-67.kb2.ky3

KY3.4-4A

软件名称	架构	版本号
qemu-help	noarch	4.1.0-62.kb2.ky3
qemu	x86_64	4.1.0-62.kb2.ky3
qemu-block-ssh	x86_64	4.1.0-62.kb2.ky3
qemu-block-curl	x86_64	4.1.0-62.kb2.ky3
qemu-seabios	x86_64	4.1.0-62.kb2.ky3
qemu-block-iscsi	x86_64	4.1.0-62.kb2.ky3
qemu-img	x86_64	4.1.0-62.kb2.ky3
qemu-block-rbd	x86_64	4.1.0-62.kb2.ky3
qemu-guest-agent	x86_64	4.1.0-62.kb2.ky3
qemu-img	aarch64	4.1.0-62.kb2.ky3
qemu-block-curl	aarch64	4.1.0-62.kb2.ky3
qemu-block-rbd	aarch64	4.1.0-62.kb2.ky3
qemu-block-iscsi	aarch64	4.1.0-62.kb2.ky3
qemu-guest-agent	aarch64	4.1.0-62.kb2.ky3
qemu	aarch64	4.1.0-62.kb2.ky3
qemu-block-ssh	aarch64	4.1.0-62.kb2.ky3