Fecha del reporte: 10 de mar de 2010

Paquetes afectados: kvm

Más información: Múltiples vulnerabilidades locales han sido descubiertas en kvm, un completo sistema de virtualización. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

• CVE-2010-0298 & CVE-2010-0306: Gleb Natapov descubrió problemas en el subsistema KVM donde la falta de verificación de permisos (CPL/IOPL) permite a un usuario en un sistema huésped producir una denegación de servicio en el sistema huésped (system crash) u obtener privilegios escalados en el huésped.

• CVE-2010-0309: Marcelo Tosatti arregló un problema en el código de emulación PIT en el subsistema KVM que permite a usuarios privilegiados en un dominio huésped causar una denegación de servicio (crash) en el sistema anfitrión.

• CVE-2010-0419: Paolo Bonzini encontró un fallo en KVM que puede ser usado para eludir la correcta verificación de permisos mientras se cargan selectores de segmentos. Esto permite, potencialmente, a usuarios privilegiados del huésped ejecutar instrucciones privilegiadas en el sistema anfitrión.

Para la distribución estable (lenny), este problema ha sido arreglado en la versión 72+dfsg-5~lenny5.

Para la distribución de pruebas (squeeze), y la distribución inestable (sid), estos problemas serán abordados en el paquete linux-2.6.

Le recomendamos actualizar su paquete kvm.

Original (en inglés): http://lists.debian.org/debian-security-announce/2010/msg00050.html